ERM RRS 编著 


密码 编码 与 信息 安全 


τω, 
: UT iw Ww ἹςῚ 


BR) 


清华 大 学 出 版 社 


密码 编码 与 信息 安全 
一 C++ 实践 


EX RUT 编 


«4 


清华 大 学 出 版 社 
1. = 


内 容 简 介 


本 书 主要 介绍 了 密码 编码 学 与 信息 安全 的 常用 算法 所 涉及 的 理论 ,并 介绍 了 使 用 C++ 语言 实现 这 些 
算法 的 基本 过 程 与 具体 实现 。 本 书 涵盖 了 古典 密码 对 称 密 钥 算 法 、 公 钥 算 法 、 散 列 函数 和 数字 签名 等 几 
部 分 内 容 , 并 在 每 章 最 后 附 有 一 定量 的 习题 与 实践 题 供 读者 练习 。 

本 书 可 以 作为 信息 安全 ,信息 与 计算 科学 、 计 算 机 科学 技术 、 通 信 工 程 等 专业 的 本 科 生 教材 ,也 可 以 为 
从 事 信息 安全 、 通 信 、 电 子 工程 等 领域 的 技术 人 员 提 供 参 考 。 
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1. 目的 /目标 


在 密码 编码 与 信息 安全 的 教学 与 学 习 过 程 中 ,大 多 以 理论 教学 为 主 ,缺少 实践 教学 ,从 
而 对 所 学 的 理论 难以 有 较为 深入 的 理解 。 本 书 重 在 以 实践 帮助 读者 理解 密码 编码 与 信息 安 
全 的 基本 原理 。 

本 书 主要 讨论 密码 编码 学 与 信息 安全 的 基本 原理 ,并 以 基本 原理 为 基础 , 重 在 探讨 
CH 的 实现 方法 。 通 过 逐步 引导 的 方法 ,分 析 密 码 编码 和 信息 安全 的 功能 ,并 针对 相应 的 
功能 采用 C++ 语言 加 以 实现 。 帮 助 读 者 掌握 和 理解 密码 编码 与 信息 安全 的 原理 ,并 将 理论 
与 实践 有 机 结合 ,为 对 密码 编码 和 信息 安全 有 兴趣 的 读者 提供 参考 。 


2. 预备 知识 要 求 


本 书 主要 讲述 密码 编码 与 信息 安全 的 基本 原理 与 实现 方法 ,读者 需 有 基本 的 C++ 语言 
知识 ,并 能 够 编写 简单 的 应 用 程序 。 若 有 基本 的 密码 编码 与 信息 安全 的 知识 , 则 更 有 利于 党 
握 书 中 的 内 容 。 


3. 学 习 方法 


本 书 是 以 实践 为 主 ,帮助 理解 密码 编码 与 信息 安全 的 基本 原理 ,从 原理 出 发 来 分 析 和 完 
成 具体 的 实现 方法 与 过 程 是 理想 的 学 习 方 法 ,切忌 复制 或 抄袭 代码 ,理解 后 独立 完成 相关 实 
践 内 容 , 不 仅 有 助 于 理解 密码 编码 的 原理 ,更 有 助 于 将 理论 转化 为 实践 。 

在 本 书 的 撰写 过 程 中 ,每 一 部 分 的 原理 都 通过 分 析 和 实践 来 完成 ,同时 ,将 复杂 的 问题 
尽 可 能 简化 到 易于 理解 ,便于 实现 。 读 者 在 学 习 过 程 中 ,可 以 参考 分 解 问题 的 方法 ,提高 解 
决 问题 的 能 力 。 同 时 在 程序 设计 过 程 中 最 好 对 各 项 功能 进行 单独 测试 ,避免 在 总 体 完 成 后 
增 大 查找 程序 存在 问题 的 复杂 性 。 


4. 内 容 提要 


本 书 共 分 为 古典 密码 、 现 代 对 称 密码 、 公 钥 密码 算法 、 散 列 函 数 和 数字 签名 五 个 部 分 ,在 
古典 密码 中 介绍 了 单 表 代替 密码 、 移 位 密码 、 多 表 代 替 密 码 等 古典 密码 算法 。 在 现代 对 称 密 
码 中 介绍 了 S-DES 算法 .DES 算法 .AES 算法 .IDEA 算法 .Blowfish 算法 和 CAST-128 等 
多 种 算法 。 在 公 钥 密码 算法 中 介绍 了 大 数 运 算 基本 原理 与 实现 方法 .RSA ΒΚ. Diffie 
Hellman 算法 、Elgamal 算法 等 。 在 散 列 函 数 中 介绍 了 MD4、MD5 和 SHA-1 等 算法 。 在 数 
字 签 名 中 介绍 了 RSA 数字 签名 方案 `Elgamal 数字 签名 方案 和 DSA 数字 签名 方案 等 。 并 
对 书 中 出 现 的 各 种 算法 均 给 出 了 C++ 的 具体 实现 。 


”前言 


5. 教学 安排 


本 书 作 为 教材 可 以 根据 教学 学 时 安排 具体 内 容 , 对 于 课时 在 60 学 时 左右 的 教学 计划 可 
以 选择 大 部 分 内 容 作为 课程 教学 内 容 , 对 于 课时 在 40 学 时 左右 的 教学 计划 可 以 根据 需要 进 
行 选择 。 例 如 :在 第 2 部 分 内 容 中 可 以 按照 分 类 各 选择 一 种 算法 作为 教学 内 容 , 其 中 RC 算 
法 包含 RC4、RC5 和 RC6 算法 ,教学 过 程 中 则 可 以 选择 部 分 内 容 进 行 讲解 ,其 余部 分 则 可 以 
作为 教学 参考 。 同 样 第 4 部 分 的 散 列 算法 也 可 以 选择 部 分 内 容 进行 教学 ,算法 细节 不 同 ,但 
基本 结构 有 不 少 是 相似 的 。 


6. 错误 


无 论 作 者 有 多 少 发 现 错误 的 技巧 ,总 有 一 些 错误 漏网 ,而 读者 往往 最 能 发 现 错误 ,如 果 
读者 发 现任 何 认 为 是 错误 的 地 方 ,请 提出 纠正 建议 ,并 发 送 电 子 邮 件 至 wang_jingwen@ 
yeah. net, 我 们 会 非常 感谢 读者 的 帮助 。 


7. 编程 环境 


本 书 中 的 所 有 示例 均 采 用 G++ 编译 器 进行 编译 ,编程 环境 为 Code::Blocks, 保 证 了 在 
Windows 环境 或 Linux 环境 的 兼容 性 , Code: Blocks b T R A A X: http://www. 
codeblocks. org, # ië # # Windows 环境 中 使 用 VC 进行 处 理 , 需 做 相应 的 修改 以 适应 VC. 
的 编译 器 。 


8. 致谢 
本 书 在 撰写 过 程 中 得 到 很 多 人 的 支持 和 帮助 ,特别 要 感谢 何 立国 教授 ,对 书 中 许多 有 关 
数学 知识 与 相关 证 明 的 地 方 给 出 了 很 多 宝贵 的 建议 ,使 得 本 书 更 加 完善 。 
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ΞΕ 


随 着 网 络 与 通信 技术 的 发 展 , 越 来 越 多 的 信息 通过 通信 和 网络 计算机 以 及 电话 \ 传 真 等 
技术 手段 被 获取 、 存 储 和 传输 ,在 信息 的 处 理 过 程 中 随时 可 能 受到 非法 用 户 或 非 授权 用 户 的 
访问 、 算 改 或 破坏 ,信息 安全 受到 人 们 越 来 越 多 的 关注 和 重视 ,密码 编码 则 是 信息 安全 的 重 
要 技术 支撑 。 


1.1 密码 学 简介 


密码 学 是 一 门 研 究 信息 保密 的 学 科 ,密码 学 的 基本 任务 就 是 通过 一 定 的 加 密 方 法 对 信 
息 提 供 保密 性 服务 。 
确保 发 送信 息 安全 ,同时 接收 者 在 获取 信息 后 能 正确 获得 原始 信息 是 密码 学 的 基本 内 
容 , 这 一 过 程 由 加 密 和 解密 两 部 分 组 成 。 加 密 通常 是 将 明文 进行 编码 ,使 其 含义 变 得 模糊 或 
不 易 理 解 的 过 程 ,而 解密 是 加 密 的 逆 过 程 ,其 作用 是 将 密 文 变 回 其 原始 形式 。 在 一 个 通信 系 
统 中 ,加 密 和 解密 的 过 程 通常 可 以 用 图 1-1 所 示 的 模型 来 表示 。 
密 钥 EX 


明文 一 >[ ma #2 明文 
图 1-1 加 密 -解密 基本 过 程 


信息 发 送 方 利用 加 密 密 钥 并 采用 一 定 的 加 密 算法 ,对 明文 进行 加 密 得 到 密 文 ,然后 将 密 
文 发 送 给 接收 方 。 接 收 方 在 收 到 密 文 之 后 ,利用 解密 密 钥 和 相应 的 解密 算法 将 密 文 进行 解 
密 , 从 而 获得 原始 的 信息 。 在 加 密 和 解密 过 程 中 , 密 钥 的 使 用 方法 又 可 以 分 为 两 类 : 一 类 是 
加 密 密 钥 与 解密 密 钥 相同 ,或 者 通过 加 密 密 钥 很 容易 得 到 解密 密 钥 ,这 类 加 密 算法 被 称 为 单 
密 钥 系统 ;而 另 一 类 则 是 加 密 密 钥 和 解密 密 钥 不 同 , 通 过 加 密 密 钥 无 法 或 很 难 计算 得 到 解密 
密 钥 ,这 类 加 密 算 法 通常 被 称 为 双 密 钥 系统 。 
对 于 单 密 钥 系统 ,加 密 过 程 和 解密 过 程 可 以 表示 为 
C=E,(M), 
M = D,(O), 
式 中 : M 表示 明文 ,C 表示 密 文 ,E 表示 加 密 密 钥 ,D 表示 解密 密 钥 , 且 有 D, (E, (M)) = 
Μ. 式 (1-1) 也 可 以 写成 


(1-1) 
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C= Ε(Κ.Μ). 
M=D(K.C). 
该 式 表示 加 密 依赖 于 明文 和 密 钥 ,解密 依赖 于 密 文 和 密 钥 , 且 加 密 密 钥 与 解密 密 钥 相 
同 。 对 于 双 密 钥 系 统 , 加 密 过 程 和 解密 过 程 可 以 表示 为 
C= E4 (OD. 
M =D lO 
AA De (En MD) — M XC -2) tli nf DL; μὲ 
C = E(K,.M), 
M = DCK:,C)。 
该 式 表示 加 密 依赖 于 明文 和 加 密 密 钥 ,解密 依赖 于 密 文 和 解密 密 钥 , 且 加 密 密 钥 与 解密 
密 钥 不 同 。 
对 称 密码 算法 通常 是 单 密 钥 系 统 , 公 钥 密 码 算法 通常 是 双 密 钥 系统 。 
在 加 密 和 解密 过 程 中 包含 以 下 5 个 基本 要 素 : 
a) 明文 一 一 待 加 密 的 消息 ,可 以 是 文本 、 图 片 .数字 化 的 语音 或 数字 化 的 视频 等 。 
(2) 加 密 算法 一 一 是 指 对 明文 进行 处 理 的 方法 或 规则 ,使 明文 成 为 “不 可 理解 ”的 密 文 。 
(3) 密 钥 一 一 是 一 种 参数 , 它 是 在 明文 转换 为 密 文 或 将 密 文 转换 为 明文 的 算法 中 输入 
的 数据 。 
(4) 密 文 一 一 对 明文 进行 加 密 后 的 输出 ,是 不 可 理解 的 打 乱 的 信息 ,通常 可 以 通过 算法 
还 原 。 
(5) 解密 算法 一 一 解密 算法 是 指 对 密 文 进行 解密 的 方法 和 规则 ,使 密 文 还 原 为 明文 。 
加 密 算法 和 解密 算法 一 般 依赖 于 密 钥 。 
目前 所 使 用 的 加 密 算法 和 解密 算法 都 属于 基于 密 钥 的 算法 ,基于 密 钥 的 加 密 算法 又 可 
以 分 为 对 称 密码 算法 和 公开 密 钥 算 法 。 
对 称 密码 算法 通常 是 指 加 密 密 钥 和 解密 密 钥 相同 ,或 者 通过 加 密 密 钥 可 以 推算 出 解密 
密 钥 的 算法 , 即 单 密 钥 系统 。 对 称 密码 算法 又 称 为 传统 密码 算法 ,目前 ,商业 上 比较 有 影响 
力 的 传统 加 密 算法 有 DES( 数 据 加 密 标准 ) 算 法 .AES( 高 级 加 密 标 准 ) 算 法 等 。 对 称 密码 算 
法 的 通信 模型 如 图 1-2 所 示 。 


(1-2) 
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图 1-2 对称 密码 算法 通信 模型 
在 使 用 对 称 密码 算法 进行 通信 的 过 程 中 , 密 钥 的 传递 需要 “安全 ?地 进行 , 若 密 钥 使 用 普 
通信 道 进 行 传递 则 很 容易 受到 攻击 , 当 攻 击 者 获得 相应 密 钥 之 后 ,“ 密 文 * 的 保密 性 便 不 复 
存在 。 
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公开 密 钥 算法 又 称 为 公 钥 算 法 , 公 钥 算法 通常 是 指使 用 一 个 密 钥 进行 加 密 ,使 用 另 一 个 
密 钥 进 行 解密 。 在 公 钥 算法 中 ,加 密 密 钥 一 般 是 公开 的 ,通过 加 密 密 钥 无 法 推算 出 解密 密 钥 
或 很 难 推算 出 解密 密 钥 , 公 钥 系统 为 双 密 钥 系 统 。 

公 钥 加 密 算法 也 称 为 非 对 称 密码 算法 , 公 钥 加 密 算法 不 需要 加 密 和 解密 双方 互相 信任 。 
目前 商业 上 比较 流行 的 公 钥 加 密 算法 有 RSA 算法 .ECC( 椭 圆 曲 线 ) 算 法 等 。 公 钥 密 码 算 法 
的 通信 模型 如 图 1-3 所 示 。 


Ji 
[xev j menu | | xc exc j rem boxy] 
信 源 Mind JEU. du 
AB, r 


普通 信道 
图 1-3 公 钥 密码 算法 通信 模型 


在 公 钥 加 密 算法 中 ,加 密 密 钥 的 传递 并 不 需要 在 一 个 特殊 的 安全 信道 中 进行 传递 ,即便 
攻击 者 获得 加 密 密 钥 也 无 法 通过 加 密 密 钥 计算 获得 解密 密 钥 ,加 密 密 钥 可 以 “公开 ”, 或 者 在 
普通 的 信道 内 传递 加 密 密 钥 。 

基于 明文 的 加 密 方法 可 以 分 为 流 加 密 方法 和 分 组 加 密 方法 。 

流 加 密 方法 通常 是 对 明文 每 次 加 密 一 个 字符 (或 一 位 数据 ), 这 种 加 密 方法 主要 在 手工 
加 密 时 代 、 机 械 加 密 时 代 使 用 或 在 语音 通信 中 使 用 流 加 密 算法 , 流 加 密 算法 具有 的 最 大 特点 
是 具有 较 高 的 加 密 速度 。 

分 组 加 密 方 法 是 指 将 明文 分 割 成 一 定 长 度 的 组 ,然后 使 用 同一 个 密 钥 和 算法 对 每 一 组 
明文 进行 加 密 ,输出 的 是 相应 长 度 的 密 文 。 目 前 使 用 的 对 称 密 码 算法 通常 都 是 采用 分 组 加 
密 的 方法 进行 加 密 和 解密 。 

研究 对 信息 进行 编码 的 技术 的 学 科 称 为 密码 编码 学 ,其 目的 是 实现 对 信息 的 隐蔽 和 保 
护 。 与 密码 编码 学 相对 应 ,研究 在 不 知道 信息 解密 方法 的 情况 下 进行 破解 的 科学 称 为 密码 
分 析 学 ,有 时 候 也 称 为 破解 密码 。 密 码 编码 学 和 密码 分 析 学 通常 是 两 个 对 立 的 学 科 。 


1.2 信息 安全 遇 到 的 威胁 


密码 编码 与 信息 安全 涉及 的 范围 十 分 广泛 .无 论 在 军事 、 经 济 还 是 在 人 们 的 日 常生 活 
中 ,都 在 不 同 的 程度 上 与 密码 编码 和 信息 安全 存在 一 定 的 联系 。 

计算 机 处 理 的 信息 主要 分 为 两 部 分 ,一 部 分 是 计算 机 内 部 存储 和 处 理 的 信息 , 另 一 部 分 
是 计算 机 之 间 互 相交 换 的 信息 。 计 算 机 内 部 的 信息 不 希望 被 非法 人 员 访 问 ,可 以 通过 访问 
权限 来 限制 非法 用 户 读 取 计算 机 内 部 的 信息 。 而 计算 机 之 间 的 信息 传递 中 ,传送 者 和 接收 
者 希望 能 保证 传送 信息 的 机 密 性 和 完整 性 。 

计算 机 之 间 信息 传递 的 安全 是 信息 安全 研究 的 主要 内 容 . 而 密码 编码 学 则 是 信息 安全 
的 基础 。 计 算 机 网 络 的 迅速 发 展 也 使 得 信息 安全 的 问题 日 益 突出 ,信息 安全 遇 到 了 前 所 未 
有 的 威胁 ,在 信息 安全 中 ,威胁 通常 是 指 侵犯 安全 的 可 能 性 , 即 利用 安全 系统 的 弱点 和 潜在 
危险 ,在 破坏 安全 或 引起 危害 的 环境 ,行为 或 事件 的 情况 下 ,会 出 现 这 些 威胁 。 
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信息 安全 中 的 安全 攻击 是 指 任何 危害 信息 安全 的 活动 ,对 信息 的 攻击 的 主要 目的 是 从 
密 文 获得 明文 ,更 彻底 的 攻击 是 获得 密 钥 。 信 息 安全 所 遇 到 的 威胁 包含 主动 攻击 和 被 动 攻 
击 两 方面 的 威胁 。 

主动 攻击 是 指 以 各 种 方式 有 选择 性 地 进行 信息 破坏 ,例如 : 修改 、 删 除 .冒充 和 传播 病 
毒 等 。 主 动 攻击 具有 智能 性 ,隐蔽 性 ,多样 性 和 破坏 性 的 特点 。 

被 动 攻击 是 指 在 不 干扰 信息 系统 正常 运行 的 情况 下 对 计算 机 内 部 的 信息 或 计算 机 通信 
中 的 信息 进行 截取 、 破 译 和 分 析 。 

主动 攻击 难以 防止 ,但 容易 检测 ,因此 ,针对 主动 攻击 其 重点 在 于 检测 并 从 破坏 中 得 到 
恢复 。 被 动 攻击 与 主动 攻击 相反 ,被动 攻击 可 以 防止 但 难以 检测 ,因此 ,针对 被 动 攻击 其 重 
点 在 于 如 何 预防 。 


1.3 密码 编码 和 信息 安全 提供 的 服务 


密码 编码 与 信息 安全 主要 保障 信息 的 安全 利用 ,提供 的 服务 主要 有 以 下 几 种 ， 
(1) 机 密 性 

机 密 性 主要 是 针对 私有 信息 的 保护 , 指 一 个 实体 (可 以 是 个 人 或 集体 ) 把 自己 的 数据 存 
放 到 一 个 合适 的 位 置 , 可 以 方便 地 读 取 或 存放 ,而 其 他 未 经 授权 的 实体 则 无 法 读 取 和 破坏 ， 
或 未 授权 用 户 无 法 理解 信息 的 内 容 。 

如 果 信 息 保存 在 未 被 保护 的 地 方 ,或 者 信息 在 不 安全 的 信道 内 进行 传输 都 存在 信息 汇 
密 的 可 能 性 ,信息 安全 的 一 个 重要 任务 就 是 保护 信息 的 机 密 性 ,一 般 采 用 加 密 技术 来 实现 机 
密 性 保护 。 

(2) 数据 完整 性 

数据 完整 性 具体 体现 在 对 交换 信息 的 保护 . 指 若干 个 存在 利益 相关 的 实体 (可 以 是 个 人 
也 可 以 是 集体 ) 合 作 完 成 相关 的 交易 (或 事情 ) ,在 交易 过 程 中 不 被 不 相关 的 实体 干扰 、 窃 听 
和 破坏 。 同 时 又 保证 各 交易 方 不 能 进行 欺骗 或 至 少 不 能 摆脱 对 自己 行为 的 责任 。 

同 机 密 性 保护 类 似 , 完 整 性 服务 的 要 求 同 样 出 现在 存储 或 传输 过 程 中 ,这 时 ,信息 存在 
被 算 改 的 可 能 性 ,在 这 种 情况 下 ,信息 安全 的 任务 就 是 保护 信息 的 完整 性 。 在 密码 学 中 可 以 
采用 数据 加 密 、 报 文 鉴别 和 数字 签名 等 技术 来 实现 数据 完整 性 保护 。 

(3) 鉴别 

鉴别 通常 用 于 权利 保护 ,是 指 身份 鉴别 有 关 的 保护 。 权 利 保护 的 权利 是 指 一 个 实体 利 
益 的 知识 产权 ,或 代表 一 个 实体 责任 的 控制 权限 ,例如 : 管理 员 、 负 责 人 的 权限 被 非法 次 用， 
软件 .电影 以 及 其 他 数字 产品 被 盗版 。 权 利 保护 则 使 非法 人 员 难 以 盗用 他 人 权限 和 盗版 ,或 
在 盗用 后 无 法 去 除 痕 迹 , 使 这 些 痕 迹 具有 可 追踪 性 。 鉴 别 通 常 可 以 通过 数据 加 密 、 数 字 签名 
或 鉴别 协议 等 技术 来 实现 。 

(4) 抗 抵赖 

抗 抵 赖 是 指 用 于 阻止 通信 实体 的 抵赖 行为 及 其 相关 内 容 的 相关 服务 。 人 们 为 了 自身 或 
团体 的 利益 可 能 抵赖 曾经 发 送 过 的 消息 ,因此 , 当 消 息 发 送 后 ,接收 方 需要 向 他 人 证 实 该 消 
息 确 实 是 从 所 声称 的 发 送 方 发 送 。 抗 抵赖 一 般 可 以 通过 数字 签名 技术 或 协同 可 信和 机 构 、 证 
书 机 构 来 完成 相关 服务 。 
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密码 编码 学 和 信息 安全 的 主要 任务 是 从 理论 上 和 实践 上 来 解决 上 述 4 个 问题 。 
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. 什么 是 对 称 密 钥 加 密 算 法 ? 

- 什么 是 公开 密 钥 加 密 算 法 ? 

. 为 什么 对 称 密 钥 加 密 算 法 的 密 钥 传递 需要 在 安全 的 信道 中 进行 ? 
- 为 什么 公开 密 钥 加 密 算 法 的 密 钥 传递 可 以 在 普通 的 信道 中 进行 ? 
. 什么 是 主动 攻击 ? 

. 什么 是 被 动 攻 击 ? 

什么 是 信息 安全 中 的 机 密 性 服务 ? 

. 什么 是 信息 安全 中 的 完整 性 服务 ? 

. 什么 是 信息 安全 中 的 鉴别 服务 ? 

10. 什么 是 信息 安全 中 的 抗 抵赖 服务 ? 
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古典 密码 


为 了 能 够 更 好 地 理解 密码 编码 体制 ,在 本 部 分 中 ,首先 从 古典 密码 编码 技术 
着 手 来 说 明 密 码 编码 的 基本 技术 ,古典 密码 编码 技术 大 多 数 采用 的 是 手工 或 机 
械 的 方法 对 明文 进行 加 密 , 对 密 文 进行 解密 ,在 现代 来 说 基本 已 无 安全 可 言 ,但 
是 理解 古典 的 密码 编码 技术 有 助 于 理解 密码 编码 的 基本 实现 ;同时 ,由 于 其 编码 
方法 相对 简单 ,在 计算 机 上 比较 容易 实现 ,对 后 续 加 密 方 法 与 解密 方法 的 学 习 有 
一 定 的 帮助 作用 。 


古典 密码 编码 技术 
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ARI ἀξ πὶ 


2.1.1 单 表 代替 密码 编码 原理 


单 表 代 替 密码 是 一 种 固定 明文 字符 集 到 密 文 字符 集 的 映射 ,是 古代 密码 编码 技术 中 的 
一 种 比较 简单 的 编码 技术 ,属于 简单 的 代 换 密码 , 即 一 个 字符 用 另 一 个 字符 进行 代 换 ,这 种 
代 换 可 以 用 映射 表示 为 


fiS-c. (2-1) 
假设 有 明文 5 二 (51s2sa…), 则 相应 的 密 文 为 
C = E,(S) = f(s) f(s.) f(s) (2-2) 


ERA ΤΗ ΧΡ A = (ao yay yt ,as-1), 则 相应 的 与 明文 字符 集 具有 了 映射 关系 
的 密 文字 符 集 为 A’'=={ f(ao), fla) + far) ,f(a,1)}。 
单 表 代替 密码 加 密 的 映射 关系 是 一 个 一 对 一 映射 ,映射 太 的 逆 映 射 为 广 : ,解密 密 钥 就 
一 个 固定 的 代 换 字母 表 , 如 果 存 在 密 文 C= (cico…), 则 解密 过 程 为 
S= DO) = fla) f(a): (2-3) 
单 表 代替 密码 中 比较 典型 的 密码 算法 是 凯撒 (Caesar) 窗 码 ， 其 本 质 就 是 构造 不 同 字母 
的 映射 表 ,通过 映射 表 来 完成 对 数据 的 加 密 和 解密 。 


2.1.2 单 表 代替 密码 算法 实现 


单 表 代替 密码 算法 的 实现 过 程 主要 包括 两 部 分 内 容 ,一 部 分 是 加 密 过 程 , 另 一 部 分 是 解 
密 过 程 , 下 面 的 实现 过 程 就 是 针对 历史 上 有 名 的 凯撒 密码 来 完成 的 。 

加 密 过 程 是 针对 明文 文件 进行 加 密 , 采 用 读 取 字符 的 方法 ,对 每 一 个 字符 通过 映射 的 方 
法 进行 加 密 ,完成 加 密 后 写 人 加 密 文件 。 在 本 节 的 示例 中 所 包含 的 字符 由 26 个 小 写字 母 和 
空格 组 成 的 , 因 过 程 比较 简单 , 单 表 代替 密码 算法 的 实现 直接 采用 函数 的 方法 来 实现 ,具体 
代码 如 下 。 

程序 清单 2-1 


0l #include< iostream> 
02 #includx< fstream> 
03 #include< cstdlib> 
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04 using namespace std; 
05 const char c[27]= ('d' 


z','u','x' ,'c','m" w','b','v','n', 


06 "o' ,"p' ,'g','a' ,'z* ,'s*,'g',"h','£ 
07 void encryption (ifstream& fin,ofstream& fout); 
08 intmain() 


tty οι. "J; 


09 { 

10 ifstream fin; 

1 ofstream fout; 

2 fin.open ("filel_1.in"); 

B if (fin. fail ()) 

14 t 

15 cout<< "File open error! (Input) "<< endl; 
16 exit (1); 

17 } 

18 fout.open("filel 1.out"); 

19 if(fout.fail()) 

20 { 

2 cout<< "File open error! (Qutpot) "<< endl; 
2 } 

23 encryption (fin, fout); 

24 fin.close(); 

25 fout.close() ; 

26 retum 0; 

27) 

28 void encryption (ifstream& fin,ofstream& fout) 
29 ( 

30 char next; 

3 char ch; 

3 inti; 

33 while (fin.get (next) ) 

34 { 

35 if (next> ='a" && next< = 'z') 
36 

3] i-next- 'a'; 

38 de cli]; 

39 fout«« ch; 

40 

4l else 

42 t 

43 fout«« ' '; 

44 

45 } 

46 } 


在 程序 中 的 输入 文件 为 filel_1.in, 输 出 文件 为 filel_1. out. 


2.1 单 表 代替 密码 


运行 示例 : 

输入 文件 filel_1.in 的 内 容 为 : we will attack tomorrow morning 

输出 文件 filel_1. out 的 内 容 为 : fu flbb dssdkw sovoaaof voanlnc 

程序 说 明 : 

1. 26 个 字母 与 空格 的 单 表 替换 是 通过 const char c[L27] 来 完成 的 ,具体 的 明文 与 密 文 
之 间 字 符 的 映射 关系 根据 具体 情况 来 确定 ,读者 在 实践 过 程 中 可 以 自己 定义 明文 与 密 文 之 
间 的 映射 关系 。 

2. 替换 函数 void encryption(ifstream®&. fin.ofstream& fout) 的 参数 是 文件 输入 流 和 
文件 输出 流 , 输 入 和 输出 文件 在 主 函数 中 定义 。 

3. 在 读 取 文件 数据 的 时 候 采 用 的 方法 是 fin. getCnext) ,而 不 是 fin> > next, 当 采 用 
fin 过 next 来 读 取 数 据 的 时 候 ,程序 将 会 忽略 明文 文件 中 的 空格 。 

解密 过 程 是 加 密 的 逆 映 射 ,在 解密 过 程 中 可 以 查找 密 文 所 在 的 索引 来 确定 明文 的 内 容 ， 
在 本 例 中 的 密 文 与 明文 的 对 应 关系 可 以 通过 图 2-1 来 确定 。 


dljlklzlulxlclmlllilwlbljvlnlolpljqlalrlslglhlfltlyle 
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图 2-1 密 文 与 明文 对 应 关系 


假设 密 文字 母 为 k, 那 么 它 在 字符 数组 中 的 索引 为 2, 与 明文 相对 应 的 字母 为 c, 假 设 密 
文字 母 为 b, 那 么 它 在 字符 数组 中 的 索引 为 11 ,与 明文 相对 应 的 字母 为 1。 通过 上 述 过 程 就 
可 以 得 到 相应 的 密 文 -明文 对 应 关系 ,程序 的 实现 可 以 仿照 加 密 过 程 的 方法 来 实现 ,解密 过 
程 的 函数 代码 如 下 。 


程序 清单 2-2 
Ol void decryption (ifstream& fin,ofstream& fout) 
a2 { 
08 char ch; 
04 char chout; 
05 while (fin.get (ch) ) 
06 { 
07 for(int i- 0;i« - 26;i* 4 ) 
08 { 
09 if(d--cli]) 
10 { 
11 if (i==26) 
12 { 
13 fout«« ' '; 
14 } 
15 else 


16 { 


‘ay. 


Λι 


第 2 章 古典 密码 编码 技术 


17 chout- char ('a'+ i); 
18 fout«« chout; 

19 ) 

20 } 

2 } 

22 } 

23 } 


函数 参数 ifstream& fin 是 要 读 取 的 加 密 了 的 文件 ,参数 ofstream& fout 是 解密 后 要 输 
出 的 文件 ,程序 中 读 取 文件 中 的 内 容 同 样 采用 fin. get(ch), 其 目的 与 加 密 过 程 读 取 文 件 时 
一 样 ,防止 漏 读 空格 字符 ,字符 转换 通过 char('a' 十 说 完 成 ,其 他 部 分 和 加 密 过 程 的 程序 类 似 ， 
可 以 参考 加 密 过 程 的 程序 完成 。 


2.2. 移 位 密码 


2.2.1 移 位 密码 算法 原理 


移 位 密码 又 称 为 移 位 代 换 密码 ,是 单 表 代 换 密码 的 一 种 , 它 的 加 解密 过 程 可 以 用 以 下 方 
式 表示 : 


c = E,(s) = (s+k)mod n, 

s = D,(c) = (c — k)mod n, 
其 中 ,c 表示 密 文 字符 ,s 表示 明文 字符 ,k 表示 移 位 的 数字 ,n 表示 代 换 字符 集 的 字符 总 个 
数 , 当 字符 集 为 26 个 字母 时 的 移 位 算法 就 是 凯撒 密码 。 


2.2.2 移 位 密码 算法 实现 


移 位 算法 的 C++ 实现 比较 简单 ,可 以 通过 构造 一 个 简单 的 类 来 实现 ,类 中 包含 一 个 加 
密 函数 和 一 个 解密 函数 ,加 密 和 解密 过 程 都 是 针对 文件 来 进行 ,类 的 声明 如 下 。 


程序 清单 2-3 


0l class Shift 

a2 ( 

public: 
Shift (); 
void encryption (ifstreams fin, ofstream& fout, int n); 
void decryption (ifstreams fin, ofstream& fout, int n); 


(2-4) 
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其 中 encryption 函数 用 于 对 文件 进行 加 密 ,函数 的 参数 为 输入 文件 .输出 文件 和 移 位 的 量 ， 
输入 文件 为 需 加 密 的 原文 ,输出 文件 为 加 密 后 的 密 文 。decryption 函数 用 于 对 密 文 文件 进 
行 解密 ,函数 参数 的 输入 文件 为 密 文 文件 ,输出 文件 为 解密 后 的 明文 。 

加 密 函 数 encryption 的 实现 过 程 如 下 。 

程序 清单 2-4 


OL void Shift: :encryption (ifstream&fin, ofstream& fout, int n) 


2.3 乘 数 密码 

a { 
03 char next; 
04 while(fin.get (next) ) 
05 t 
06 fout«« char ( (int (next)+ n) $128) ; 
07 } 
08 } 
解密 函数 decryption 的 实现 过 程 如 下 。 

程序 清单 2-5 
Ol void Shift::decryption(ifstresm& fin, ofstream& fout, int n) 
0 ( 
03 char next; 
04 while (fin.get (next) ) 
05 { 
06 fout<< char ( (int (next)- n) $128) ; 
07 } 
08 } 


上 述 加 密 方 法 和 解密 方法 都 是 针对 整个 ASCI 编码 表 进 行 的 ,因此 在 实现 过 程 中 使 用 
char((CintCnext) 十 n) %128) 来 进行 加 密 运 算 ,使 用 char (Cint(next) — n) 612802 ΒΕΠ ft 95 
运算 ,在 实现 过 程 中 同样 需要 注意 读 取 文件 的 方法 ,在 读 取 文件 时 采用 fin. get nex0 o i 
取 文 件 中 的 字符 ,防止 漏 读 空格 字符 。 


2.3) 乘 数 密码 


2.3.1 乘 数 密码 算法 原理 


乘 数 密码 算法 的 基本 原理 类 似 于 单 表 蔡 换 密码 算法 或 移 位 密码 算法 ,加 密 函 数 和 解密 
函数 可 以 用 下 式 表示 : 


c = E,(s) = (#s)mod n, 
s= D,(c) = (k!c)mod n. 
AP: n 表示 明文 字符 集中 字符 的 总 个 数 ,s 表示 明文 字符 ,c 表示 密 文 字符 ,上 表示 密 钥 。 
乘 数 密码 算法 需 满足 两 个 条 件 : 
1. 0<k<n; 
2. gcd(k,n)=1。 
条 件 2 表示 上 与 BRR Hn 不 满足 互 素 条 件 , 则 明文 字符 集 与 密 文 字符 集 不 能 构 
成 一 一 映射 。 
图 2-2 是 不 同 密 钥 的 明 密 文 对 示意 图 .在 k= 二 9 时 .9 与 26 互 素 ,得 到 的 明 密 文 对 为 一 
一 映射 ,k 二 4 时 ,4 与 26 EER AANT 2, 得 到 的 明 密 文 对 非 一 一 映射 。 例 如 : 明文 的 b 
和 o 所 对 应 的 密 文 都 为 e, 明 文 的 a 和 n 对 应 的 密 文 都 为 a。 
乘 数 密码 算法 在 得 到 密 钥 之 后 ,计算 得 到 明 密 文 对 ,实际 上 就 形成 了 单 表 代替 密码 , 因 
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明文 |a|b|c|lale|flsg|hliljlk|lilmalalejplalzrlsjtlulv|v|xzly|sz 
I1|2|3|4|5|6|7|s|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25 

k=9 |a [5 [ο k|t|c|1|u|d|m|v|e|n|w|f]o|x DB h[a[z]i 

k=4 α]ο]1]π]α]α]ν]ε]ε]κ]ο]ο[π]α]ε]ί]π]α]υ]ν]ο ε]κ]ο]ο]ν 


图 2-2 不 同 密 钥 明 密 文 对 示意 图 


此 其 解密 的 过 程 也 可 以 完全 参考 单 表 代替 密码 来 实现 , 若 使 用 公式 (2-5) 中 的 解密 算法 , 需 
要 计算 A BE n 的 乘法 逆 元 , 模 的 乘法 逆 元 的 计算 方法 见 下 一 节 扩 展 的 欧 几 里 得 算法 。 


2.3.2 扩展 的 欧 几 里 得 算法 


扩展 的 欧 几 里 得 算法 是 以 欧 几 里 得 (Euclid) 算 法 为 基础 发 展 而 来 的 , 它 的 功能 是 计算 
两 个 正 整数 的 最 大 公 因 子 。 

假设 a 和 2 是 两 个 正 整 数 , 如 果 正 整数 c 满足 : 

OD cia Alb WAT; 

(2) a 和 2 的 任何 因子 都 是 c 的 因子 ; 
此 时 ,ce 称 为 a 和 2 的 最 大 公 因 子 , 用 geda D) KR. 

定理 ”对 于 任意 非 负 整数 a Mb A 

gcd(a.b) = gcd(b.a mod b). (2-6) 

欧 几 里 得 算法 就 是 通过 重复 使 用 上 述 定理 来 计算 最 大 公 因 子 的 ,其 计算 过 程 用 伪 码 可 

以 表示 如 下 : 


Euclid(a,b) 
{ 
if b==0) 
f 
retum a; 
} 
else 
{ 
retum Euclid (b,a mod b) 
E 
} 


在 乘 数 密码 的 解密 过 程 中 , 即 可 以 采用 单 表 代 替 密 码 的 方法 进行 解密 ,也 可 以 先 计算 密 
4] k IUBE n 的 乘法 道 元 & ,然后 再 利用 解密 公式 进行 解密 ,计算 乘法 逆 元 可 以 采用 扩展 的 
欧 几 里 得 算法 。 

定理 ”对 于 任意 的 正 整数 ec 和 0, 存在 整数 * 和 + ,使 得 


as + bt = gced(a-b). (2-7) 
假设 gcd(a b) —1Ca Lb HA) ,此 时 存在 一 个 a Bio WF BTC aS Bn 
aa^ = 1(mod b), (2-8 


由 于 gcd(a,5) 二 1, 由 上 述 定 理 ,我 们 知道 存在 s 和 +t, 使 得 as 十 bt 一 1, 该 式 可 以 转换 为 


as=1— bt. FH 


2.3 RRB 


as = 1(mod b). (2-9) 
所 以 ;为 a Bib 0938085306. 
要 解决 计算 s 和: 的 问题 ,目前 比较 常用 的 计算 方法 是 扩展 的 欧 几 里 得 算法 ,扩展 的 欧 
几 里 得 算法 实际 上 就 是 欧 几 里 得 算法 的 变形 ,扩展 的 欧 几 里 得 算法 的 伪 码 如 下 。 


ExtEuclid(a,b) 
{ 
if(p--0) 
{ 
retum (a, 1,0); 
} 
(dl, sl,t1)=ExtEuclid(b, a$b); 
edly 
stl 
t=sl- (a/b) * t1; 
return (d,s,t); 
) 


示例 2-1 假设 a—99.0—78.i1E SE IE as- bt — ged(Ca DOT s Alt. 
BOER ExtEuclidO ,递归 调用 ExtEuclid(99,78) 得 到 结果 如 下 : 


a b a/b d s t 


99 78 1 


1 
2 
3 
4 
5 
6 


由 于 780, Ak aK JHH ExtEuclid O ,此 时 函数 的 参数 为 78 和 21. IN 99% 78 = 
21 ,再 次 计算 结果 如 下 : 


a b a/b d 5 t 
99 78 1 
78 21 3 


1 
2 
3 
4 
5 
6 


重复 递归 调用 的 过 程 , 一 直到 b=0 结束 .此 时 返回 的 值 为 (3.1,0) ,整个 递归 调用 的 计 
算 结 果 如 下 : 


"a5. 
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a b a/b d 5 t 
1 99 78 1 
2 78 21 3 
3 21 15 1 
4 15 6 2 
5 6 3 2 
6 3 0 3 1 0 


上 述 计算 结果 的 第 5 行 的 d,s,t 的 计算 来 源 于 第 6 行 的 结果 ,在 第 6 行 中 有 d1—3. 


s1 王 1 和 tl=0, 在 第 5 行 的 计算 中 有 d=d1=3,s=t1=0 Ml t=sl—(a/b) * tl=1—2 * 0 


1 ,得 到 的 计算 结果 如 下 : 
a b a/b d s t 
1 99 78 1 
2 78 21 3 
3 21 15 1 
4 15 6 2 
5 6 3 2 3 0 1 
6 3 0 8 1 0 


重复 上 述 计 算 过 程 , 一 直到 整个 过 程 计算 完毕 ,其 计算 结果 如 下 : 


a b a/b d s t 
1 99 78 I 3 = 14 
2 78 21 3 3 3 =u 
3 21 15 1 3 =g 3 
4 15 6 2 3 1 —2 
5 6 3 2 3 0 1 
6 3 0 = 3 1 0 


最 终 计算 结果 为 : s——11.:£—14, AW 995 C71D 9-78X 14 —3 DAL ICA SU RJ. s 和 + 满 
JE as δις gcd(a D) , 

示例 2-2 计算 60 Et 13 的 乘法 逆 元 。 

#& ”由 于 gcd(60,13) 王 1, 所 以 存在 乘法 逆 元 ,计算 过 程 与 示例 2-1 相同 ,计算 结果 如 下 : 


a b a/b d s t 
1 60 13 4 1 5 —23 
2 13 8 d 1 =3 5 
3 8 5 1 1 2 =3 
4 5 3 1 1 =] 2 
5 3 2 1 1 1 =1 
6 2 1 2 1 0 1 
z 1 0 — 1 1 0 


2.3 RRB 


由 于 60 X5+13X (—23) —300— 299 — 1. Bd ll RT LA 31 5 是 60 模 13 Fe BTC. A 
23660 5) 413—300 413—1. 


2.3.3 乘 数 密码 算法 实现 


乘 数 密码 算法 的 实现 过 程 中 首先 要 找到 候选 密 钥 ,然后 在 候选 密 钥 中 选择 相应 的 密 钥 ， 
在 程序 实现 的 过 程 中 可 以 通过 两 个 函数 来 实现 ,一 个 用 于 计算 最 大 公约 数 , 另 一 个 是 将 所 有 
满足 gcd(k.n)=1 的 人 上 输出。 


计算 最 大 公约 数 的 函数 如 下 。 
程序 清单 2-6 

0l int god(int η, int k) 

0 { 

03 if (m= =0) 

04 { 

05 retum k; 

06 ) 

07 if(k--0) 

08 t 

09 retum n; 

10 } 

11 retum god(k, n&k); 

2 


函数 采用 了 易于 理解 的 递归 算法 ,其 返回 值 为 最 大 公约 数 。 
输出 满足 ged CE o0 —1 的 所 有 上 的 函数 代码 如 下 。 


程序 清单 2-7 
0l void getGod(int n) 
a2 { 
08 int i; 
04 Vector< int> v; 
05 for(i=1;i<n;it+) 
06 { 
07 if(god(n,i)-- 1) 
08 t 
09 v.push back(i); 
10 } 
1 } 
12 for (i= 0;i< v.size();i++) 
B { 
14 cout<< v[i]<<" "; 
15 } 
16 cout<< endl; 
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该 函数 中 采用 vector 来 临时 存储 获得 的 满足 gcd (kon) =1 的 人 ,在 编程 时 需 包 含 相 应 
的 头 文件 ,在 计算 完 所 有 的 & 之 后 ,再 将 & 输 出 , 供 加 密 过 程 选择 。 

在 计算 得 到 密 钥 ,并 选择 完 相应 的 密 钥 之 后 , 乘 数 密码 算法 的 加 密 过 程 和 解密 过 程 可 
以 通过 两 种 方法 来 进行 ,一 种 是 以 单 表 代替 密码 的 方法 来 进行 ,一 种 是 以 乘 数 密码 算法 的 加 
密 和 解密 方法 进行 ,以 单 表 代替 密码 的 解密 方法 进行 解密 。 加 密 过 程 可 以 参照 程序 清单 2-1 
来 完成 ,解密 过 程 可 以 参照 程序 清单 2-2 来 完成 。 


2.3.4 扩展 的 欧 几 里 得 算法 的 实现 


在 2.3.2 节 中 描述 了 扩展 的 欧 几 里 得 算法 ,并 给 出 了 相应 的 例子 ,说 明了 扩展 的 欧 几 里 
得 算法 的 基本 原理 。 由 于 该 算法 在 后 续 的 公 钥 密码 算法 中 有 和 较 大 的 用 途 , 因 此 本 节 给 出 算 
法 实现 的 完整 代码 以 及 解释 ,方便 读者 理解 扩展 的 欧 几 里 得 算法 ,完整 的 程序 代码 如 下 。 


程序 清单 2-8 


Ol #include< iostream> 
02 using namespace std; 
03 struct ExtEuc 

0 ( 

05 int d; 

06 int s; 

07 intt; 

0 y 

09 ExtEuc ExtEuclid(nt, int); // 扩 展 的 欧 几 里 得 算法 函数 声明 
10 intmain() 

ni 


12 ExtEuc eu; 

13 int a,b; 

14 cout<< "Please input two integers: "; 

15 cin >a>>b; 

16 ew ExtEuclid(a,b) ; 

17 cout<< "d= "<< eu.d«« " "<< "s= "<< eu. scc " "<< "t= "<< eu.t«« endl; 
18 return 0; 


19 } 
20 ExtEuc ExtBuclid(int a,int b) 


2 { 

22 ExtEuc eu,eul; 

23 if(p--0) 

24 1 

25 eul.d-a; 

26 eul.s-1; 

2] eul.t-0; 

28 return eul; 

29 } 

30 eul= ExtEuclid(b,a&b) ; 


24 多 表 代 蔡 密 码 
32 eu.s= eul.t; 

= eu.t=eul.s- (a/b) * eul.t; 

34 retum eu; 

3 } 


由 于 整个 程序 比较 简单 ,程序 仅 以 函数 的 形式 来 完成 ,第 3 行 到 第 8 行 定义 了 要 处 理 的 
数据 的 结构 体 ,将 d,s,t 封装 在 结构 体 中 ,方便 进行 数据 处 理 ,其 中 d 表示 a 和 bb 的 最 大 公 
约 数 , 当 d=1 时 ,s 为 a 模 b 的 乘法 逆 元 ,t 为 b 模 a 的 乘法 逆 元 。 第 20 行 到 第 35 行 的 函数 
ExtEuclid(int,int) 实 现 扩展 了 欧 几 里 得 算法 ,函数 参数 为 整 型 数据 a 和 b, 其 返回 值 类 型 为 
ExtEuc。 函 数 的 计算 方法 采用 递归 , 主 函 数 实现 数据 的 输入 和 计算 结果 的 输出 。 


2.4 多 表 代 符 密码 


在 上 述 加 密 方法 中 , 密 文 字母 和 明文 字母 之 间 是 一 对 一 映射 ,其 加 密 方法 均 无 法 掩盖 明 
文 数据 的 统计 特性 ,通过 统计 计算 密 文字 母 的 统计 特性 ,比较 容易 找 出 明文 和 密 文 之 间 的 对 
应 关系 ,从 而 达到 破解 密 文 的 目的 。 

以 英文 文章 为 例 ,不 同 的 字母 在 文章 中 出 现 的 频率 是 不 同 的 ,美国 密码 学 家 William 
Freidman 在 对 大 量 英文 文章 进行 统计 后 ,得 到 不 同 英文 字母 的 普遍 使 用 频率 ,不 同 英文 字 
母 (不 区 分 大 小 写 ) 的 使 用 频率 见 表 2-1。 

表 2-1 英文 字母 使 用 频率 


字母 频率 字母 频率 字母 频率 

0. 0856 J 0. 0133 5 0. 0607 
B 0. 0139 K 0. 0042 T 0. 1045 
ο 0. 0279 L 0. 0339 U 0. 0249 
D 0. 0378 M 0. 0249 ν 0, 0092 
E 0. 1304 N 0.0707 w 0.0149 
F 0.0289 O 0.0797 X 0. 0017 
G 0. 0199 P 0. 0199 Y 0. 0199 
H 0. 0528 Q 0. 0012 Ζ 0. 0008 
1 0. 0627 R 0. 0677 


根据 英文 字母 的 使 用 频率 ,很 容易 推测 出 密 文 中 的 不 同 字符 与 明文 中 的 不 同 字符 的 对 
应 关系 ,从 而 破解 密 文 。 

以 同样 的 方式 还 可 以 统计 双 字 母 和 三 字母 的 统计 特性 ,例如 : 在 双 字 母 中 TH、HE、ER 
和 AN 等 是 使 用 频率 相对 较 高 的 双 字母 组 合 , 而 在 三 字母 中 则 THE、ING、AND 和 HER 等 
属于 使 用 频率 较 高 的 三 字母 组 合 。 利 用 双 字 母 和 三 字母 的 统计 特性 ,可 以 更 有 效 地 提高 简 
单 密码 算法 的 准确 性 。 

对 单 表 代 替 密 码 进 行 改 进 ,产生 多 表 代 蔡 密 码 , 多 表 代 替 密 码 隐藏 了 明文 的 统计 特性 ， 
明文 的 结构 信息 被 隐蔽 了 。 

多 表 代 替 密 码 有 两 个 共同 的 特征 ,其 一 是 采用 相关 单 表 代 换 规则 ,其 二 是 密 钥 决定 代 换 


"a9. 


ay" 


$29 古典 密码 编码 技术 


的 具体 方法 。 


在 这 类 密码 算法 中 ,比较 典型 的 多 表 代 替 密 码 是 维 吉 尼 亚 (Vigenere) 密 码 和 和 希 尔 


CHil) 密 码 , 希 尔 密 码 实 际 上 也 是 多 表 代替 密码 的 另 一 种 变 体 。 


维 吉 尼 亚 密 码 原理 
维 吉 尼 亚 密码 是 多 表 代 蔡 密 码 中 最 简单 的 一 种 , 它 的 代 换 规则 和 凯撒 密码 类 似 , 每 个 代 


换 表 是 明文 字母 移 位 0 到 25 次 后 得 到 的 代 换 单 表 , 其 代 换 表 如 表 2-2 所 示 。 


2.4.1 


R22 维 吉 尼 亚 密码 编码 表 


SIN<MOAHHKOTRRKMHEZONMOHMHNEH DP E x > 
>> N < mO nn mm O m= ουδ az Z On σα ώς D > E x 
xx > 8 <m O umma oo m= ΛΜ HAS ZONGOHKHHEDDEO BE 
z |Z K HFN < mO OO mm O m= = >i az ZOn ο ώς D> 
> |> E x< > N < m O R mm K Ὁ f = = < a Z Z O, Ο α n aF D 
BD >P ZE w > N < mO R mm O m = a < aZ Z On. O x wk 
E D > E w> N < m OQ απ πὶ. O m = = << aZ Z On. O x ο 
ajnon D> E x< >s < m O Q mi O m= — < 3 IZON 
HIM NE D >E xw> NS «ο ϱ mnm = — MHSEZOAS 
w O MNH DP Ew N < m O mm ϱ Ἠ - = < az Z Ο ϱι 
aja Ορ ΕΒ“ s <moO nman ma HS YHEZO 
CIOROMNEHED RP BK HN MOAHNHOTHR —- < az z 
FIZONOHKHNHNED SES BKmHANKMOANHOTAaMAS 
EIS ZOROMHNE DES BKHNK MO ANH ϱ TA AMA 
-Z ZIZZOLA OOA NHRD E x> Ns. < MOAHMHOTH — ou 
MIM az zZOn omw mn pr pDpppbphEwm> s < mA oOoOnpn pnm xr. 
mjn ZOALA nR DS BKHNSMOOHNHOTH 
|= = < az zZOnm Om n EF DS BEKHANSMOOQHNHOT 
=m = — < aZ Z Ont Om n nF D >E x > SN < MO QHNEYO 
“o R = — δα Z Z O αι σα Q F D P E w > ὃν < n O Ω α 
“Ile OMe oaMASZOAROCHHH O P. E b Su NA mQ ο αμ 
oo m me Ormes ZOA OAND Εκ N < MOD 
σοωαο W = -. < a Z Z O, σα n D >P BKAN < ο 
VIDANHKOTHR S i az ZOUGCHMHEDSP E> ms < ας 
2IMOANHRHLOTHRH KAS ZOUGCHKHHEDP BKAN < 
SIT MOANHHOTHA HM α SZOUGCKHEDP REKAN 
s — oD UH Moe oe —4 — E no nce une 32 > BK > N 


加 密 后 


不 


在 表 2-2 中 ,第 一 行 表 示 明 文字 母 ,第 一 列表 示 密 钥 字 母 , 中 间 的 大 写字 母 表 
的 密 文 , 维 吉 尼 亚 密码 的 加 密 过 程 为 : 首先 确定 密 钥 , 密 钥 在 后 续 的 加 密 过 程 中 循环 使 用 ， 


然后 根据 密 钥 和 明文 来 确定 密 文 。 


现 设 密 钥 为 cipher, 明 文 为 seeyoulate, 其 加 密 结果 如 下 : 


密 钥 : cipherciph 


明文 : 


seeyoulate 


密 文 : UMTFSLNIIL 


2.4 多 表 代 替 密 码 


明文 的 第 1 个 字母 为 s, 密 钥 的 第 1 个 字母 为 c, 密 文 则 是 第 c $p s 列 对 应 的 字母 U, 
在 明文 中 第 二 个 字母 和 第 三 个 字母 都 是 e, 但 由 于 密 钥 不 同 ,因此 加 密 得 到 的 密 文 也 不 同 ， 
这 样 , 密 文 隐藏 了 明文 的 统计 特性 。 由 于 密 钥 的 长 度 为 6, 那么 在 第 6 个 字母 之 后 密 钥 循 环 
使 用 , 即 第 7 个 明文 字母 加 密 时 使 用 的 是 密 钥 的 第 1 个 字母 ,以 此 类 推 。 因 此 ,与 单 表 代替 


密码 相 比 维 吉 尼 亚 密码 具有 更 高 的 安全 性 。 


2.4.2 维 吉 尼 亚 密码 实现 


本 节 的 示例 以 完整 的 面向 对 象 方法 来 实现 ,通过 构造 vigenere 类 对 所 需要 处 理 的 数据 


进行 封装 ,同样 ,相应 的 函数 也 封装 在 类 中 。 


完整 的 实现 共 包 括 三 个 相应 的 文件 , vigenere. h, vigenere. cpp 和 main. cpp; Œ 
vigenere. h 中 主要 完成 对 类 的 声明 ,vigenere. cpp 文件 主要 完成 vigenere. h 中 声明 函数 的 


定义 ,main. cpp 中 主要 是 对 象 的 调用 。 
vigenere. h 的 代码 见 程序 清单 2-9 。 


程序 清单 2-9 


#ifndef VIGENERE H 


9 
8 


02 #define VIGENERE H 
03 #include< string» 

04 using namespace std; 

05 class Vigenere 

06 ( 

07 private: 

08 int cipherTable [26] [26]; 
09 string key; 

10 string explicitly; 

n string cipherText; 

2 string explicitlyText; 
13 public: 

14 Vigenere() ; 

15 void init(); 

16 void setKey () ; 

17 void setExplicitly(); 

18 void encryption () 7 

19 void decryption () ; 

20 void outPut () ; 

21 int getPosition (int p,int n); 
2 y 

23 #engif 


PEF RR 
// 密 钥 

// 待 处 理 的 明文 
// 加 密 后 的 密 文 
// 解 密 后 的 明文 


// 初 始 化 cipherTable 
// 设 置 加 密 密 钥 

// 设 置 明文 

// 加 密 明文 ,获得 密 文 
// 将 密 文 转换 为 明文 
// 将 处 理 结果 输出 

// 获 取 密 文 解密 的 位 置 


类 中 各 成 员 变量 和 成 员 函 数 的 功能 在 注释 中 给 出 ,其 中 cipherTable[26][26] 构 造 了 一 
个 特殊 的 表 , 其 功能 是 将 Vigenere 表 中 的 字母 全 部 由 数字 替换 ,目的 是 简化 程序 并 提高 效 
率 , 具 体 实现 的 方法 在 程序 定义 中 说 明 , 其 他 函数 的 实现 方法 也 在 后 面 加 以 说 明 。 


"By. 
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类 中 init() 函数 代码 见 程序 清单 2-10。 


程序 清单 2-10 
0l void Vigenere::init() 
a { 
03 inti,j; 
04 for (i= 0;i« 26;i+ +) 
05 { 
06 for (j= 0;1ς 26;j+ +) 
07 { 
08 cipherTable [i] [j]- (i+ 1326; 
09 } 
10 } 
u } 


程序 中 cipherTable 的 作用 是 将 维 吉 尼 亚 密码 编码 表 数字 化 ,将 原来 用 字符 表示 的 编 
码 表 改 为 用 数字 表示 的 编码 表 , 编 码 时 根据 明文 字符 和 密 钥 字 符 所 在 的 列 和 行将 密 文 转换 
为 数字 形式 来 表示 ,例如 明文 字符 为 “c”, 则 表示 字符 所 在 的 列 为 int(Cc 一 an ,结果 为 第 2 列 ， 
密 钥 字符 为 “d”, 密 钥 字 符 所 在 的 行为 int(d 一 'a) ,结果 为 第 3 行 , 则 对 应 密 文 的 数字 为 (2 十 
3) 9426 ,而 对 应 的 密 文 则 为 char int "A9 + (2 十 3)%26) ,得 到 密 文 为 “*F”, 这 个 过 程 将 字符 
进行 数字 化 处 理 , 简 化 了 加 密 和 解密 的 过 程 。 

init O 函数 在 构造 函数 内 直接 调用 ,在 构造 Vigenere 类 的 对 象 时 就 对 密码 编码 表 进 行 
初始 化 操作 o 

类 中 的 setExplicitly() 函 数 的 作用 是 设置 明文 ,void setKey() 的 作用 是 设置 密 钥 ,在 本 
例 中 通过 控制 台 来 输入 明文 和 密 钥 ,也 可 以 通过 文件 或 其 他 方法 来 输入 明文 和 密 钥 ,函数 
encryption() 的 作用 是 将 明文 加 密 获 得 密 文 ,其 实现 代码 见 程序 清单 2-11。 

程序 清单 2-11 


Ol void Vigenere: :encryption () 
{ 


8 


cipherText- explicitly; // 初 始 化 密 文 为 明文 
unsigned int i; 
int mn; // 计 算 密 文 所 在 的 行列 参数 用 
for (i= 0;i< explicitly.length();i++) 
{ 
m= int (explicitly[i]- 'a'); 
n- int (key [i$ (key.length())]- 'a*); 
cipherText [1]- char ('A'+ cipherTable [n] [m]) 7 


98988528 


BS 


12 } 

加 密 过 程 的 基本 方法 是 : 逐个 字符 读 取 明文 和 密 钥 ,并 通过 明文 字符 和 密 钥 字符 计算 
出 明文 字符 所 在 的 列 和 密 钥 字 符 所 在 的 行 , 然 后 再 计算 得 到 密 文 字符 ,这 三 步 分 别 由 程序 清 
单 2-11 中 的 第 8 行 .第 9 行 和 第 10 行 中 的 代码 完成 。 


24 &*RhHER 23. 


解密 过 程 由 函数 decryption() 来 完成 ,完整 代码 见 程序 清单 2-12. 


程序 清单 2-12 
OL void Vigenere: :decryption() 
a { 
03 esplicitlyText- cipherText; // 初 始 化 解密 明文 为 密 文 
04 unsigned int i; 
05 int mn; 
06 for (i= 0;i< cipherText.length() ;i* +) 
07 { 
08 m= int (key[i$ (key. length())]- 'a'); 
09 m= getPosition(i,n); 
10 explicitlyText[i]- char ('a' m) ; 
u ) 
2] 


解密 过 程 的 基本 方法 是 : 首先 获得 密 钥 字符 所 在 的 行 ,然后 通过 密 钥 字符 所 在 的 行 和 
密 文 字符 来 获得 明文 字符 所 在 的 列 ,最 后 计算 获得 明文 字符 。 程 序 中 第 8 行 的 作用 是 确定 
密 钥 字符 所 在 的 行 , 通 过 196 (key. length()) 来 确定 使 用 第 几 个 密 钥 ,通过 key[i% (key. 
length())] 确 定 密 钥 的 字符 ,然后 通过 key i26 (key. length O) ] — 'a'lif 4E % ΒΗ dk K p 09 55 
Afi. 

计算 明文 字符 所 在 的 列 通过 函数 getPosition() 来 实现 ,函数 参数 为 密 文 所 在 位 置 和 密 
钥 所 在 行 , 函 数 的 返回 值 为 明文 所 在 的 列 , 具 体 实现 代码 见 程序 清单 2-13 。 


程序 清单 2-13 
Ol int Vigenere::getPosition (int p, int n) 
2 { 
03 int position; 
04 int i; 
05 for (i= 0;i< 2671+ + ) 
06 { 
07 if (char (cipherText [p])== char ('A'+ cipberTable [n] [i])) 
08 { 
09 position i; 
10 break; 
1 } 
19 } 
13 return position; 
14 } 


getPosition O 函数 通过 当前 密 钥 所 在 的 行 来 获得 该 行 的 密 文 表 , 然 后 通过 密 文字 符 与 
密 文 表 的 字符 比较 来 获得 明文 的 位 置 , 这 是 一 个 比较 简单 并 易于 实现 的 方法 。 代 码 行 的 第 
5 行 到 第 12 行 ,通过 对 比 的 方法 在 表 中 确定 明文 所 在 的 列 。 

在 类 的 成 员 函 数 中 还 有 一 个 输出 函数 ,其 功能 是 输出 明文 、 密 文 和 解密 后 的 明文 ,函数 
比较 简单 ,读者 可 以 自行 完成 。 
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2.4.3 希 尔 密码 的 原理 


IRID 密码 是 1929 年 由 数学 家 Lester Hill 发 明 的 ,加 密 算法 将 m 个 连续 的 明文 
FERRE mn 个 密 文字 母 ,并 且 由 πι 个 线性 等 式 决定 变换 的 方式 。 在 线性 等 式 里 字母 与 数 
值 一 对 一 映射 ,a->0,b 习 1,…,z 一 25 ,例如 当 m= 时 系统 可 以 表示 为 


cl = (ku pı + biz b: + kis P3) mod 26. 
cz = (ka pi + kz pz + kz p3) mod 26, (2-10) 
cs = (ka pi + ksz p2 + k33 p3) mod 26, 
HER ht A BE dez OS 
οι ku As Ειο(ρι 
中 ka kz os 26. (2-11) 
c3 ks ks kss)\ps 
将 式 (2-11) 用 通 式 可 以 表达 如 下 : 
c — Kpmod 26 (2-12) 


KP: c 和 pp 是 长 度 为 m 的 列 和 撩 量 , 分 别 代表 密 文 和 明文 ,K Ji m X m 和 矩阵 ,代表 加 密 
密 钥 ,运算 按 模 26 执行 。 

解密 过 程 是 加 密 过 程 的 逆 过 程 , 希 尔 密码 算法 的 解密 过 程 可 以 表示 为 

p = K 'c mod 26 (2-13) 

式 中 : KO! AE is us] K 0933 

希 尔 密码 算法 在 实际 计算 中 字母 与 数字 对 应 的 多 少 是 根据 实际 情况 来 确定 的 。 在 很 多 
应 用 算法 中 ,加 入 了 “.”“?” 和 空格 “_”, 使 得 解密 后 得 到 的 明文 可 以 与 原来 的 明文 一 致 ,其 
映射 关系 见 表 2-3。 

表 2-3 29 个 字母 的 数字 -字母 映射 表 

alblcldle|flglhliljlkl1llminlolpljqlrlsltlulvlwlxlylzl|. |? 


0|1|2|3|4|5|16|718|1911o|11112|13114|15|16117|18|119|20|21|22|123|24|25|26|27| 28 


采用 29 个 字母 映射 的 加 密 方法 与 采用 26 个 字母 映射 的 计算 方法 是 完全 一 致 的 。 

和 希 尔 密 码 算法 中 涉及 在 模 运 算 下 计算 矩阵 的 逆 , 因 此 ,加 密 和 矩阵 必须 在 模 运 算 下 可 逆 才 
能 用 于 加 密 计算 。 

希 尔 密码 算法 采用 的 加 密 和 解密 矩阵 通常 为 2X2 矩阵 ,解密 矩阵 通过 计算 加 密 和 矩阵 在 
模 运算 下 的 逆 获 得 。 

如 果 加 密 和 矩阵 为 


可 道 , 即 ad —bcz-0 J H: [e Ἢ 


lA ως α 
é d ad — be a] 


在 计算 加 密 和 矩阵 在 模 运 算 下 的 逆 时 ,必须 存在 ad — bc RELI. WR RI 26 个 字 


d 


=j 


(2-14) 


2.4 多 表 代 蔡 密 码 


母 的 映射 ,那么 ,ad 一 bc BE 26 必须 是 1,3,5,7,9,11,15.17,19,21,23 或 25 中 的 一 个 ; 否 
则 ,不 能 进行 解密 。 
b 9 4 
示例 2-3 采用 映射 表 为 ο. ^ [=| IE 


c d 5 7 
Ή 18 E PE o 
解 ad—bc=9X7—4X5=63—20=43=17 mod 26. 


由 于 17 存在 模 26 的 乘法 逆 元 ,因此 ,加 密 和 矩阵 的 逆 为 


£ — 
17 17 
mod 26. 
— 9 
M 17 
计算 得 17 BE 26 WFR WIC 23. B] 17 23—1 mod 26, FEA 
AE i 
17 17 7X23 —4x23 
mod 26— | | moa 26 
-5 9 —5X23 9x23 
17 17 
161 —92 
=| | mod ss 
—115 207 
5 12 
= mod 26 
15 25 
对 计算 结果 进行 验算 ,有 
9 4175 12 45 十 60 108 十 100 
mod 26= mod 26 
5 7H15 25 25 十 105 60+175 
105 208 
= mod 26 
130 235 


1 

乘法 逆 元 的 计算 方法 见 2. 3. 2 节 的 扩展 的 欧 几 里 得 算法 。 

在 程序 设计 过 程 中 要 注意 除法 问题 , 当 存 在 除法 时 需要 先 计算 分 母 的 乘法 逆 元 ,将 除法 
转换 为 乘法 运算 。 否 则 ,得 不 到 正确 的 运算 结果 。 

希 尔 密码 算法 在 一 般 的 情况 下 是 采用 二 阶 方 阵 作为 加 密 密 钥 。 采 用 二 阶 密 钥 隐蔽 了 明 
文 的 二 元 统计 信息 , 若 需 要 隐蔽 二 元 以 上 的 明文 统计 信息 , 则 需要 采用 更 高 阶 的 方 阵 作 为 密 
钥 。 例 如 ,有 时 候 会 采用 三 阶 方 阵 作为 加 密 密 钥 。 

三 阶 以 上 的 矩阵 计算 逆 矩 阵 可 以 采用 初等 变换 法 或 伴随 矩阵 法 等 。 


1 0 
三 [ Jroa 26, 
0 


, 试 采 用 


> — N 
° e ο 


1 
示例 2-4 采用 映射 表 为 26 个 字母 与 数字 的 映射 ,加 密 和 矩阵 为 Z 
5 


初等 变换 方法 计算 解密 矩阵 。 
解 计算 方法 为 L4| 丰 一 LII4 ]. 
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1 2 3/1 0 0 2 3 1 0 0 
τ ὅτι +rs 
0 1 1|0 1 0|— — 1 4| 0 1 0 
5 6 0|0 0 1 0 —4 —15/—5 0 1 
1 2 3}1 00 
Ara rs 
—— 1 40 1 0 
00 1|—5 4 1 
1. 0 ---δ 1 —2. 0 
一 2rz +n 
—— — *|9 1 4| 0 1 0 
0 0 —5 4 1 
5r; ri 1 0 0|—24 18 5 
—A4rs tr: 
————»-|0 1 οἱ 20 —15 —4 
0 0 1| 一 5 4 1 
于 是 得 到 解密 矩阵 
一 24 18 5 2 18 5 
ΑΓ = 20 一 15 —4|=|20 11 22 mod 26, 
一 5 4 1 21 4 #1 


示例 2-4 中 an TERE 1. AB 1 整数 , 则 需要 计算 an 的 乘法 逆 元 ,将 cn 转换 为 1, 这 
样 可 以 在 后 续 计 算 中 避免 计算 过 多 的 乘法 逆 元 而 降低 计算 速度 。 


2.4.4 希 尔 密码 的 实现 


希 尔 密码 的 实现 要 解决 以 下 几 个 问题 : 

(1) 在 得 到 加 密 密 钥 后 需 计 算 解 密 密 钥 。 

(2) 在 计算 解密 密 钥 时 需要 计算 行列 式 的 乘法 逆 元 。 

(3) 在 加 密 过 程 中 需要 将 明文 分 割 成 与 加 密 和 矩阵 的 阶 相同 大 小 的 小 段 。 

CD 在 解密 过 程 中 同样 需要 将 密 文 分 割 成 与 解密 矩阵 的 阶 同 样 的 大 小 的 小 段 。 

在 这 一 节 的 示例 中 假设 26 个 小 写字 和 母 与 数字 形成 映射 ,在 需 加 密 的 文件 或 数据 中 不 包 
含 其 他 字符 。 采 用 二 阶 矩 阵 作 为 加 密 和 矩阵。 

程序 主要 由 Hill 类 来 完成 数据 定义 以 及 对 数据 的 操作 ,类 及 相关 结构 体 的 声明 见 程序 
清单 2-14。 


程序 清单 2-14 
0l struct ExtEuc 
a2 { 

03 int d; 
04 int s; 
05 intt; 
06 y 

07 class Hill 

0 ( 

09 private: 


10 int key[2] [2]; // 加 密 密 钥 


11 int decKey[2] [2]; 

12 int det; 

1 string plainText; 

14 vector« char» cipherText; 
15 Vector< char» vinText; 

16 vector< char» decText; 

17 public: 

18 Hill (); 

19 void init (); 

20 void cutPlainText () ; 

21 void getDecKey() ; 

2 void encryption); 

23 void decryption () ; 

24 void showResult () ; 

2 int god(int n, int k); 

26 ExtEuc ExtEuclid (int, int); 
I y 


结构 体 ExtEuc 主要 用 于 计算 行列 式 的 乘法 逆 元 ,其 他 各 成 员 变 量 和 成 员 函 数 的 功能 


参照 注释 中 的 说 明 。 
初始 化 加 密 密 钥 、 明 文 ,计算 解密 密 钥 等 在 初始 化 函数 init() 中 完成 ,其 代码 见 程序 清 
单 2-15。 
程序 清单 2-15 
Ol void Hill::init() 
a { 
03 int i,j; 
04 while(1) 
05 { 
06 cout<< "Input the key:"<< endl; 
07 for(i-0;i«2;it*) 
08 t 
09 for (j= 07}< 275+ +) 
10 { 
1 cin» > key[i] [j]; 
12 } 
3 } 
14 det- key[0] [0] * key[1] [1]- key[0] [1] * key[1] [0]; 
15 if((det--0) | (god(det,26) != 1)) 
16 { 
0 cout«« "The key can't be inversed, reinput the key!"«« endl; 
18 } 
19 else 
20 { 


2.4 多 表 代 蔡 密 码 


// 解 密 密 钥 

// 密 钥 的 行列 式 

// 加 密 前 明文 

// 加 密 后 密 文 

// 临 时 存储 明文 数据 
// 解 密 后 的 文件 数据 


// 初 始 化 密 钥 明文 

// 分 割 明 文 存储 到 向 量 
/获取 解密 密 铀 

// 加 密 明 文 

// 解 密 密 文 

// 显 示 计 算 结 果 

// 计 算 最 大 公 因 子 

// 用 于 计算 乘法 逆 元 的 函数 


` 
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22 } 

23 } 

24 getDeckey () ; 

25 cout<< "Input the plaintext:"«« endl; 

26 cin> > plaintext; 

33 

程序 清单 2-15 中 ,4 一 23 行 处 理 加 密 密 钥 ,其 中 的 1418 行 判断 加 密 和 矩阵 是 否 为 可 逆 


矩阵 , 若 不 可 逆 则 重新 输入 加 密 和 矩阵 ,同时 det 的 值 是 否 符合 解密 的 判断 要 求 ( 与 字符 集 的 
元 素 个 数 互 素 ) , 若 不 符合 要 求 同 样 需 重新 输入 加 密 和 矩阵 。 在 判断 过 程 中 使 用 ged O RZ, 
用 于 计算 最 大 公 因 子 , 具 体 实 现 方法 见 程序 清单 2-6。 第 24 行 调用 getDecKey O 函数 ,计算 


解密 密 钥 ,第 26 行 输入 需要 加 密 的 明文 。 
init O 函数 直接 由 构造 函数 调用 ,完成 初始 化 数据 的 任务 。 
计算 解密 密 钥 的 函数 getDecKey() 见 程序 清单 2-16。 


程序 清单 2-16 
Ol void Hill: :getDeckey () 
e { 
03 ExtEuc eu; 
04 int inverseDet; //det 的 乘法 逆 元 
05 int i,j; 
06 eu- ExtBuclid (det, 26) ; 
07 inverseDet- eu.s; // 获 得 det 的 乘法 逆 元 
08 deckey [0] [0]= key[1] [1]; 
09 deckey [0] [1]=- key[0] 1]; 
10 decKey[1] [0]- - key[1] [0]; 
u deckey [1] [1]= key[0] [0]; 
12 for (i= 0,1 «2/14 +) 
B { 
14 flor (j= 0;ἠς 275+ +) 
15 { 
16 deckey [i] [j]= (decKey[i] [j] * inverseDet) $26; 
17 if(decKeyli] [j]< 0) 
18 { 
19 deckey [i] [5]+ = 267 
20 } 
2 H 
2 } 
23 ] 
程序 清单 2-16 中 的 第 6 行 和 第 7 行 计算 行列 式 的 乘法 逆 元 ,ExtEuclid() 函 数 的 内 容 与 


程序 清单 2-8 相同 ,第 12 一 22 行 计算 解密 密 钥 ,第 19 行 消除 解密 密 钥 中 存在 的 负 值 。 
函数 cutPlainText() 的 功能 为 将 输入 的 明文 分 解 成 字符 ,并 存储 到 向 量 中 ,目的 是 方便 
后 续 加 密 和 解密 的 处 理 。 代 码 见 程序 清单 2-17。 


2.4 多 表 代 蔡 密 码 


程序 清单 2-17 


Ol void Hill: :cutPlainText () 


a { 

03 int i; 

04 if (plainText . length ()%2==1) 

05 t 

06 PlainText+ = "z"; 

07 } 

08 for (i= 0;i< plainfext . length () ;i* +) 
09 { 

10 vinText.push back (plainText [i]); 
u } 

L } 


函数 cutPlainText() 包 括 两 部 分 的 内 容 , 第 4 一 7 行 代码 用 于 判断 明文 长 度 的 奇偶 性 。 
若 明文 长 度 为 奇数 , 则 在 明文 字符 的 最 后 加 一 个 字符 *z”, 以 便 与 二 阶 加 密 矩 阵 的 阶 数 相 匹 
配 。 第 8 一 11 行将 明文 分 解 为 字符 串 ,并 添加 到 向 量 。 

函数 cutPlainText() 的 功能 也 可 以 直接 在 加 密 函 数 中 实现 ,但 会 使 程序 的 可 读 性 变 差 。 

函数 encryption() 的 功能 为 完成 对 明文 的 加 密 , 代 码 见 程序 清单 2-18。 


程序 清单 2-18 
Ol void Hill::encryption() 
a { 
03 cutPlainflext () ; 
04 int ciphText [2]- (0,0); // 处 理 临时 密 文 数据 
05 int plaiText [2]= {0,0}; // 处 理 临时 明文 数据 
06 int i,j,k; 
07 for (i= 0;i« vinText.size();i*-2) 
08 { 
09 plaiText [1$2]- int (vinText [i])- int('a'); 
10 plaiText[ (i+ 1) $2]- int (vinText [i+ 1])- int('a'); 
11 for(j=0;j<2;j++) 
12 { 
13 for (k= 0;k< 2;k+ +) 
14 t 
15 ciphText [j]+ = key [3] [k] * plaiText [k]; 
16 ) 
17 } 
18 for (j= 075< 275+ +) 
19 { 
20 ciphText [j]= cirhText [j]%26; 
21 cipherText .push_back (char (ciphfext [j]+ int (*a*))); 


2 ciphText [3]- 0; // 还 原 临 时 数据 
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B } 


2 } 


程序 清单 2-18 中 的 第 3 行 分 割 明文 。 第 7 行 到 第 24 行 加 密 明文 ,其 中 在 第 7 行 的 循 


环 处 理 中 ,每 次 处 理 两 个 字符 ,第 9 行 和 第 10 行将 明文 字符 转换 为 整形 数字 ,第 11 行 到 第 
17 行 加 密 明 文 , 第 18 行 到 第 23 行将 整形 数据 的 密 文 转换 为 字符 ,并 加 入 到 向 量 , 第 22 行 
还 原 密 文 临时 数据 。 


函数 void decryption() 的 功能 为 解密 密 文 数据 ,代码 见 程序 清单 2-19。 
程序 清单 2-19 


2 { 

03 int ciphText [2]= (0,0); // 处 理 临时 密 文 数据 
04 int plaiText[2]= {0,0}; // 处 理 临时 明文 数据 
05 int i,j,k; 

06 for (i= 0;i< cipherText.size();i*-2) 

07 { 

08 ciphText [1$2]- int (cipherText [i])- int ("a"); 

09 ciphText [ (i+ 1)$2]- int (cipherText [i+ 1])- int ('a'); 
10 for (j= 0;5< 275+ +) 

n ( 

12 for (k= 0;k< 2;k+ +) 

13 i 

14 plaiText [j]+ = decKey [3] [k] * ciphText [k]; 
15 } 

16 } 

17 for(j=0;j< 2;5* * ) 

18 ( 

19 plaiText[j]- plaiText[]$26; 

20 decText.push back (char (plaiText [j]+ int ('a'))); 
a plaiText[j]- 0; 

22 } 

23 } 

24 } 


程序 清单 2-19 中 的 第 6 行 到 第 23 行 实现 解密 过 程 , 其 中 ,第 8 行 和 第 9 行将 密 文字 符 


转换 为 整形 数字 ,第 10 行 到 第 16 行为 解密 计算 过 程 , 第 17 行 到 第 22 行将 解密 得 到 的 明文 
数字 转换 为 字符 ,其 中 第 21 行 还 原 临时 明文 数据 。 


2. 


5. 习题 与 实践 题 


2.5.1 习题 


1. 简要 说 明 单 表 代替 密码 算法 的 基本 原理 。 


2.5 习题 与 实践 


. 简要 说 明 移 位 密码 算法 的 基本 原理 。 

已 知 zy=1 mod <, 并且 有 z= 二 7,z 二 23, 试 计算 乘法 道 元 y. 

. 简要 说 明 乘 数 密码 算法 的 加 密 和 解密 基本 原理 ,并 举例 说 明 。 

.简要 说 明 多 表 代替 密码 算法 的 基本 原理 ,并 简要 说 明 单 表 代 蔡 密码 算法 与 多 表 代 替 
密码 算法 之 间 的 异同 。 


ΝΤ ο ο ο. ος 


表 , 问 : 该 加 密 矩 阵 是 否 适 合 ?” 若 适合 则 计算 解密 矩阵 。 
2.5.2 实践 题 


l. 单 表 代替 密码 算法 的 明文 既 可 以 来 源 于 文件 ,也 可 以 来 源 于 控制 台 , 假 设 由 26 个 字 
母 与 空格 组 成 单 表 代替 密码 , 试 修改 2. 1 节 中 单 表 代替 密码 算法 的 实现 过 程 , 将 明文 数据 通 
过 控制 台 输 入 ,并 对 输入 的 明文 进行 加 密 , 将 加 密 的 结果 在 控制 台 输出 ,然后 再 对 加 密 后 的 
密 文 进行 解密 ,将 解密 后 的 密 文 在 控制 台 进行 输出 。( 注 意 事项 : 空格 也 需要 读 入 ,同时 也 
需要 对 空格 进行 加 密 和 人 解密.) 

2. 凯撒 密码 算法 是 移 位 算法 的 一 种 特殊 情况 ,明文 由 26 个 字母 组 成 , 密 文 由 与 明文 相 
同 的 26 个 字母 组 成 , 试 编写 一 程序 完成 凯撒 密码 算法 的 加 密 与 解密 ,明文 数据 通过 文件 读 
取 , 加 密 后 的 密 文 保存 到 文件 ,解密 是 从 文件 读 取 密 文 , 并 将 解密 后 的 数据 保存 到 相应 的 文 
件 , 同 时 根据 实际 加 密 和 解密 过 程 分 析 使 用 26 个 字母 进行 加 密 和 解密 所 存在 的 问题 。 

3. 在 2.3.4 节 中 ,扩展 的 欧 几 里 得 算法 通过 一 个 结构 体 来 处 理 计算 过 程 中 的 中 间 变 
量 , 试 改造 该 节 中 的 实现 方法 ,将 函数 的 返回 值 直接 改 为 返回 乘法 逆 元 。 

4. 在 2.4.4 节 中 的 希 尔 密码 算法 的 实现 过 程 中 使 用 了 向 量 来 处 理 加密 和 解密 的 数据 ， 
试 改造 该 程序 ,使 用 数组 的 方法 来 处 理 明 文 和 密 文 。 
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现代 对 称 密码 


对 称 密码 是 指 加 密 密 钥 与 解密 密 钥 相 同 或 能 推算 的 加 密 算 法 ,其 特点 是 解 
密 密 钥 能 够 从 加 密 密 钥 中 推算 出 来 ,加 密 密 钥 也 能 够 从 解密 密 钥 中 推算 出 来 。 
在 大 多 数 对称 算 法 中 ,加 密 密 钥 和 解密 密 钥 是 相同 的 ,此 时 ,这 种 算法 也 被 称 为 
单 密 钥 算法 。 对 称 算法 的 安全 性 依赖 于 密 钥 , 密 钥 泄露 意味 着 任何 人 都 可 以 对 
它们 发 送 或 接收 的 消息 进行 解密 。 

对 称 加 密 算法 的 优点 在 于 加 解密 的 高 速度 和 在 使 用 长 密 钥 时 的 难 破解 性 ， 
但 密 钥 的 生成 和 分 发 是 使 用 对 称 密码 算法 的 最 大 问题 。 
前 在 国际 上 使 用 的 对 称 密码 算法 主要 有 : DES 算 法 、 三 重 DES 算 法 、CAST-128 
算法 .Blowfish 算法 、.RC5 算 法 JIDEA 算 法 等 。 


S-DES 算法 


S-DES 算法 又 称 为 简化 的 DES 算法 ,是 美国 圣 达 拉 卡 大 学 的 爱德华 。 施 菲 尔 教授 提出 
的 用 于 教学 的 一 个 算法 ,其 结构 和 性 质 与 DES 算法 相似 。 学 习 S-DES 算法 有 助 于 加 深 理 
解 DES 算法 。 


3.1 S-DES 算法 原理 


S-DES 整体 结构 见 图 3-1, 
S-DES 加 密 算法 的 输入 是 一 个 8 位 的 明文 组 (例如 
10111101) 和 一 个 10 位 的 密 钥 ,输出 为 8 位 的 密 文 组 。 
S-DES 解密 算法 的 输入 是 一 个 8 位 的 密 文 组 和 一 个 10 
位 的 密 钥 ,输出 为 8 位 的 明文 组 。 

S-DES 的 加 密 算法 包括 5 步 : 通过 IP 函数 进行 初 
始 置换 .通过 复杂 函数 Γκ 进行 置换 和 代 换 运算 (这 部 分 
运算 依赖 于 输入 的 密 钥 )、 通 过 SW 函数 进行 两 部 分 的 
简单 置换 、 再 次 通过 fi 函数 进行 置换 和 代 换 、 通 过 置换 
函数 IP 的 道 函 数 IP 一 进行 置换 。S-DES 算法 通过 多 层 
置换 和 代 换 操作 来 增加 密码 分 析 的 难度 。 

S-DES 的 加 密 过 程 可 以 简单 地 表示 为 


IP" + fx, * SW + fx, * IP. (-D 
也 可 以 写 为 8 位 密 文 8 位 密 文 
SEX = IP” (fr, (SW(fr, (IP( 明 文 )))))。 (3-2) 图 3-1 S-DES 整体 结构 
解密 过 程 是 加 密 过 程 的 逆 过 程 ,可 以 表示 为 
明文 = IP? Cf, (SW(fx, (IP( 密 文 )))))。 (3-3) 


3.2) S-DES 密 钥 的 生成 


在 S-DES 的 加 密 和 解密 过 程 中 分 别 使 用 了 两 次 {κ 运算 ,fr 运算 过 程 中 分 别 使 用 了 不 
同 的 两 个 密 钥 ,K, MK. Κι 和 K, 的 生成 的 基本 过 程 可 以 表示 为 
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Κι = P8(Shift(P10(key))) + 
K, = P8(Shift(Shift(P10(key)))). 
密 钥 生成 的 基本 过 程 如 图 3-2 所 示 。 


将 10 位 的 密 钥 表示 成 (ki ,As ,As ska sks ske ska sks sko skio) ,那么 


P10 置换 定义 为 


Ρ10 (άν ,As ,Rs ska sks sks sk7 sks sko skio) 


= (k; sks sho skr ska skio ski sko sks ke) 


或 可 以 按 下 面 形式 定义 为 


(3-4) 


ke 
18-2] [15-2 
5 5 

Kd 


图 3-2 S-DES 密 钥 生成 


即 第 1 个 位 置 输出 的 是 第 3 位 ,第 2 个 位 置 输出 的 是 第 5 位 ,以 此 类 推 。 例 如 ,初始 的 密 钥 
为 (10100 00010) ,经 过 置换 后 变 成 了 (10000 01100) , 接 下 来 分 别 对 前 面 5 位 和 后 面 5 位 循 
环 左 移 (LS-1)1 位 , 密 钥 变 为 (00001 11000)。 然 后 按 下 面 的 PS 置换 规则 计算 子 密 钥 K ,得 


到 K, =(1010 0100). 


P8 


在 对 密 钥 进 行 循环 左 移 1 位 后 ,得 (00001 11000) ,再 循环 左 移 2 位 ,那么 , 密 钥 (00001 
11000) 就 转换 为 (00100 00011) ,再 进行 PS 置换 ,得 到 另 一 个 子 密 钥 K, = (0100 0011). 


示例 3-1 
8 K, 生成 过 程 为 
Bit# 1 
K 1 
P10(K) ο 
Shift(P10(K)) ο 
P8(Shift(P10(K))) 1 
得 到 Κι =(1110 1001). 
K; 的 生成 过 程 为 
Bit# 1 
K 1 
P10(K) 0 
Shift(P10(K)) 1 
P8(Shift(P10(K))) 1 
得 到 Κ, —(1010 0111). 
3.3 S-DES 加 密 与 解密 过 程 


=H eB Be Oo ο 


o o = o0 A 


m^ ο ο 


Ῥω. bak eds κα | 


== om =| = 6ο 


ommo 


假设 10 位 S-DES 密 钥 为 11000 11110, 试 计算 子 密 钥 K， 和 Κ.. 


= = = «ο 
° 


=... «ο 
° 


S-DES 的 加 密 过 程 可 以 简单 表示 为 
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密 文 = IP” (fr, (SW(fr, (IP( 明 文 )))))。 
在 加 密 过 程 中 ,两 次 进行 置换 操作 ,两 次 进行 fk 运算 ,一 次 进行 SW 交换 ,其 中 核心 部 
分 是 两 次 fk 运算 。 
S-DES 的 加 密 过 程 如 图 3-3 Bros 。 
S-DES 算法 的 第 1 步 是 对 输入 的 8 位 明文 使 用 
IP 函数 进行 置换 ,其 置换 方法 为 


这 个 置换 过 程 保留 了 所 有 8 位 明文 的 特性 ,但 进行 
T. 

最 后 的 置换 使 用 了 IP-: 函数 进行 置换 ,其 置换 
方法 为 


第 2 个 置换 是 第 1 个 置换 的 逆 , 即 两 个 置换 的 
XS IP APX) =X. 

fx 函数 是 S-DES 算法 中 最 为 复杂 的 部 分 , 它 是 
由 置换 函数 和 代 换 函数 组 合 而 成 。 函 数 可 以 表达 
Ἂ: ὮΣΙ, 和 RR 分 别 是 [κ 的 8 位 输入 的 左边 4 位 和 
右边 4 位 ,下 是 一 个 4 位 串 到 4 位 串 的 映射 (不 一 定 
是 一 对 一 映射 )。 那 么 设 

fx(L,R)= (LOF(R,S),R) (3-5) 

其 中 S, 是 子 密 钥 ,四 是 按 位 异 或 。 

函数 fk(L,R) 的 计算 过 程 中 ,下 函数 最 为 复杂 ， 
F 函数 的 执行 过 程 如 下 : 

CD 下 函数 中 的 R 是 明文 经 过 IP 置换 后 得 到 
的 输出 的 右 半 部 分 ,F 函数 首先 执行 对 R 的 E/P H 
展 置 换 , 将 4 位 R 扩 展 置换 成 8 位 ,其 扩展 置换 的 方 


8 位 密 文 
法 为 图 3-3 SDES 算法 的 加 密 过 程 


(2) 将 E/P 扩展 置换 得 到 的 结果 与 密 钥 进行 XOR 运算 。 
(3) 根据 S 盒 对 第 2 步 获得 的 数据 分 为 左右 两 部 分 进行 替换 。S 盒 的 定义 为 
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0 T 2 3 p-q 223 
ο [1032 ο fo 12 3 

S=1 |3 21 0 S=1 ]2 ο 1 8 (3-6) 
210 21 31 3010" 
3 3 4.78.9 2103 


假设 从 第 2 步 中 获得 的 结果 为 : Poo Pos Poo Pos Pio Pia Poo Pus S 57:31 4 位 进 
行 运算 ,Si 盒 与 右边 4 位 进行 运算 。 运 算 方 法 为 : 第 1 位 和 第 4 位 决定 Sa 的 行 ,第 2 位 和 
第 3 位 决定 S 盒 的 列 。 例 如 : 有 (Pu。 Pu (00 .(P,, P.) =(10) ,那么 ,输出 的 是 S, & 
的 第 0 行 第 2 列 , 结 果 为 3, 写 成 二 进 制 则 为 11。 同 理 , 可 以 通过 (P16o Pia), Pia Pi) S, 
盒 产 生 另 一 个 2 位 的 二 进 制 输出 ,将 两 者 结合 得 到 4 位 的 二 进 制 输出 。 

(4) 将 S 盒 的 输出 进行 P4 置换 ,P4 置换 的 方法 为 


P4 


P4 函数 的 输出 就 是 下 函数 的 输出 。 
示例 3-2 ”假设 明文 为 0010 1000, 密 钥 K, =(1110 1001), 试 计算 fx, » 
解 CD 首先 进行 IP 置换 ,置换 过 程 为 


Bit# |1 2 3 4|5 6 7 8 
IP2 6 3 1/4 8 5 7 
P 0 0 1 OL 0 Ὁ 0 
IP(P)|O 0 1 0/0 0 1 0 


得 到 :, IPCP) = (00100010) 
(2) fix, (L,R)= {11101001 } (00100010) = (0010®F (0010, (1110 1001) ,0010) 
(3) FC0010. (1110 1001)) — P4 * SBoxes {1110 1001}@(E/P(0010)) 
(Ὁ 完整 计算 过 程 如 下 : 


Bit# 2 3 4/5 6 7 8 
R| o ο 1 ο 

E/P(R)|0 ο ο 1/0 1 0 0 

K i 2 1 oji ο © 1 

ΒΡΩΘΕ | 1 1 1 11 1 6 1 
SBoxes(E/P(R)®K,) | 1 ο ο ο 
P4(SBoxes(E/P(R)®K,)) | 0 ο ο 1 


(5) 运行 函数 下 后 得 到 的 结果 为 0001. 

(6) 计算 fx, CL. R) = (0010690001 ,0010) = (00110010). 

在 执行 完 fx, CL. RO PRA Z i AT SW 交换 函数 ,SW 交换 函数 的 功能 是 交换 输入 的 左 
半 部 分 与 右 半 部 分 ,这 样 fr, CL. RO 函数 就 作用 在 不 同 的 部 分 了 。 在 fr, 的 执行 过 程 中 ， 
E/P.S,.S, 和 P4 都 是 相同 的 ,但 输入 的 密 钥 为 Κι. 

示例 3-3 根据 示例 3-1 和 示例 3-2 得 到 的 计算 结果 ,计算 加 密 后 的 明文 。 


3.4 S-DES 算法 实现 


E D 在 示例 3-1 中 ,计算 得 到 Ks: 一 (1010 0111) 。 在 示例 3-2 中 计算 得 到 的 fx, CL. 


R)—(0011.0010) . AKA: L—0011. R—0010.3EfT SW 交换 后 有 : L—0010. R—0011, 


(2) 计算 fx, CL. R) = f£ (10100111) (0010 0011) = (00108 F (0011, (1010 0111}), 


0011). 


(3) 计算 下 函数 ,F 函数 计算 过 程 如 下 : 
Bit# |1 2 3 4/5 6 7 8 
ει ο ο L1 
EPRI 1 ο 0 1/0 1 1 ο 
Ko | 2 0 1 ος 1 1 
E/KR)OR;|0 ο 1 1/0 ο ο 1 
SBoxes(E/P(R)OK:) | 1 ο 1 ο 
P4(SBoxes(E/P(R)®K2)) | 0 0 1 1 


(4) 此 时 我 们 得 到 下 为 (0011)。 
(5) 计算 fx, (L,R)==f{10100111}(0010@0011,0011) 二 (0001,0011)。 
(6) 最 后 计算 IP-: 置 换 , 计 算 过 程 为 
Bit# |1 2 3 4/5 6 7 8 
RLO 0 ο 1]|0- ο 1 1 
IP'(R.DD| 1 ο ο Of] 1 ο 1 ο 
(7) 最 终 加 密 结果 为 : 1000 1010. 
S-DES 算法 的 解密 过 程 如 下 : 
明文 = IPC fx, (SWC fx, (IP( 密 文 ))))) 
具体 实现 方法 的 各 个 步骤 与 加 密 方法 的 具体 实现 完全 一 样 。 


+ 


S-DES 算法 实现 


S-DES 算法 的 实现 过 程 中 主要 需 解 决 以 下 几 个 问题 : 

COD 置换 运算 ; 

(2) 字符 左右 两 半 的 交换 运算 ， 

(3) E/P 扩展 ; 

OD S 盒 运算 ; 

(5) 移 位 运算 。 

以 上 各 部 分 的 运算 方法 将 在 程序 实现 的 过 程 中 给 出 具体 的 解释 。 
S-DES 算法 实现 的 主要 结构 如 图 3-4 所 示 。 

变量 与 函数 封装 在 SDES 类 中 ,类 的 代码 见 程序 清单 3-1。 


程序 清单 3-1 


0l class SIES 
2 { 
03 public: 


y | 
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SDES 

- key :int 

- keyl 

- key2 

- plainText :int 

> cipherText =: int 

- decipherText : int 

- P10l10] : Static const int. 

- PS[8] : Static const int 

- IP[8] : Static const int 

- IPI[8] : static const int 

- EPI[4] : Static const int. 

- EP2|4| : static const int 

- S0J[4][4] : static const int 

- S1[4][4] : static const int 

+ SDES 0 

* setKey (string s) : void 

+ setPlainText (string s) 

+ fk (int key, int& left, int right) 

+ getKey 0 : 

* encryption () : void 

* decryption () : void 

+ permutations (int num, const int p|], int pmax, int n) : int 

+ shiftLS (int num) zint 

+ showResult () void 

- stringTolnt (string s) int 

图 354 S-DES 实现 程序 主要 结构 

04 SILES(); 
05 void setKey (string s); // 设 置 密 钥 
06 void setPlainText (string s); // 设 置 明文 
07 void fk (int key,int &left,int right); //f& i V 
08 void getKey () ; // 获 得 密 钥 keyl 和 key2 
09 void encryption (); // 加 密 过 程 
10 void decryption () ; // 解 密 过 程 
11 int permitations (int mm,omst int p[ ],int prex, int n); // 进 行 置换 操作 
12 int shiftLs (int num); IMRE κα St ἈΕΊ, 1 位 ) 
B void showResult () ; // 显 示 结 果 
14 private: 
15 int key; // 初 始 密 钥 
16 int keyl; IZAK 
17 int key2; // 密 钥 K 
18 int stringToInt (string s); // 将 输入 的 字符 串 (0. 了 转换 为 整 型 数据 
19 int plainText; // 明 文 
20 int cipherText; MBX 
21 int decipherText; // 解 密 后 的 明文 
22 // 以 下 为 常量 
23 static const int P10[10]; //P10 4438 ht 
24 static const int P8[8]; /758 ΜΗ i ΠΒ 
2 static const int IP[8]; //Tp RE B 
26 static const int IPI[8]; ΡΜ dc 
21 static const int ΕΡΙ [4]; //E/P1 置 换 常量 
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28 static const int EP2[4]; //E/P2 置 换 常 量 
29 static const int P4[4]; //P4 置 换 常 量 
30 static const int SO[4] [4]; //Sy & 

31 static const int S1[4] [4]; MS, & 

2 


程序 实现 过 程 为 : 输入 密 铀 和 明文 .计算 密 钥 Κι 和 K, 、 加 密 明 文 、 解 密 密 文 。 实 现 过 
程 中 明文 和 密 文 都 是 用 整 型 数据 类 型 来 处 理 , 并 且 根 据 需 要 仅 处 理 相 应 的 位 数 ,例如 : 明文 
和 密 文 在 处 理 时 仅 处 理 8 位 数据 ,其 他 位 数 都 置 为 0。 输 入 的 密 钥 为 字符 型 数据 ,在 转换 成 
整 型 数据 之 后 再 用 于 密 钥 Κι 和 K, 的 计算 。 各 个 常量 的 值 单 独 初始 化 ,其 初始 化 过 程 见 程 
序 清单 3-2。 


程序 清单 3-2 


Ol const int SDES::P10[10]= {3,5,2,7,4,10,1,9,8,6}; 

02 const int SDES::P8[8]= (6,3,7,4,8,5,10,9); 

03 const int SIES: :IP[8]- (2,6,3,1,4,8,5,7); 

04 const int SIDES: :IPI [8]- (4,1,3,5,7,2,8,6); 

05 const int SIES: :EP1[4]= {4,1,2,3}; 

06 const int SDES::EP2[4]= {2,3,4,1}; 

07 const int SDES::P4[4]= {2,4,3,1}; 

08 const int SDES::SO[4] [4]- {{1,0,3,2}, {3,2,1,0}, {0,2,1,3}, (3,1,3,2)); 
09 const int SDES::S1[4] [4]= {{0,1,2, 3}, {2,0,1,3}, {3,0,1,0}, (2,1,0,3)); 


密 钥 生成 过 程 是 先 将 输入 的 字符 串 密 钥 转换 为 整 型 数据 ,通过 函数 setK ey (string s) 来 
获取 密 钥 。 在 函数 实现 过 程 中 通过 另 一 个 函数 stringTolnt (string s) 将 字符 串 转 换 为 整 型 
数据 ,具体 实现 过 程 见 程序 清单 3-3 。 


程序 清单 3-3 
Ol void SDES::setKey (string 5) 
a í 
03 key- stringToInt (s) ; 
0 } 
05 int SDES::stringToInt (string 5) 
06 ( 
07 int key= 0; // 整 型 表示 的 密 钥 
08 int i; 
09 int m s.length(); //n ἃ FFF EB fl A HE 
10 for (i= O;i< njit++) 
1 { 
12 key= key* 2+ s[i]- '0'; 
B } 
14 return key; 
15 } 


在 获取 密 钥 之 后 .通过 函数 getKey() 来 计算 子 密 钥 keyl 和 key2.getKey O MRM 
见 程序 清单 3-4。 
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程序 清单 3-4 
OL void SIES: :getKey () 
2 { 
03 int tempKey; 
04 tempKey= permutations (key, P10, 10, 10) ; 
05 tempkey= shiftLs (tempKey) ; 
06 keyl= permutations (tenpKey, P6, 10, 8) ; 


07 tenpKey- shiftLs (tempKey) ; 

08 tempkey= shi ftLS (tempkey) ; 

09 key2- permutations (tempKey, P8, 10, 8) ; 
10 ) 


子 密 钥 的 计算 过 程 与 3.1.2 节 所 述 的 计算 过 程 一 致 。 在 getKey O pm rli 1 1Η H pá 
数 permutations(int num, const int pl], int pmax.int n) 来 实现 置换 操作 ,通过 调用 函数 
shiftLS(int num) 来 实现 循环 移 位 操作 。 函 数 permutations(int num. const int p[ ]. int 


pmax.int n) 完 整 代 码 见 程序 清单 3-5。 


程序 清单 3-5 
Ol int SDES::permutations (int num,const int p[ ],int pmax, int n) 
0 { 
03 int temp= 0; 
04 int i; 
05 for (i= O;i< nji++) 
06 { 
07 tempec- 1; //temp 左 移 一 位 
08 temp|- (nu > (gmax- p[i]))&l; 
09 } 
10 retum temp; 
u } 


函数 参数 num 为 输入 ,p[] 为 置换 矩阵 ,pmax 为 num 要 处 理 的 位 数 ,n 为 输出 的 大 小 


(位 数 )。 函 数 的 实现 利用 了 位 运算 的 特征 。 处 理 过 程 的 基本 思 


想 为 : 将 要 处 理 的 第 n 位 数 


据 移 到 最 右 侧 ,与 1 进行 “& "运算 , 若 最 后 一 位 是 0, 那 么 整个 结果 为 0, 否 则 为 1。 然 后 与 
temp 进行 “或 ”运算 ,由 于 temp 先进 行 了 左 移 ,最 后 一 位 为 0, 因 此 运算 结果 取决 于 “&1” 运 
算 的 结果 。 使 用 位 运算 方法 ,有 效 简化 了 置换 操作 。 假 设 输入 的 密 钥 为 : 11000 11110, 程 


序 清 单 中 第 4 行 调用 permutations(key. P10.10.10) .其 中 P10 
8.6) ,在 第 1 轮 运 算 中 有 

num 

temp 

temp<<1 

num>> (pmax 一 3) 


(num>> (pmax—3)) &-1 


O O O O O = 
e o 995 9 - 
ο ° ° coc o 
o ° e° o ° ° 
ο o o ooo 


temp|((num> (pmax—3))&-1) 


[10J={3.5,2,7,4,10,1,9, 


ο oO ο ο 9 - 
o00005 n» 
oor ° ° = 
oor o Ὁ - 
© © ° O Ὁ o 
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在 第 2 轮 运算 中 有 
num 
temp 
temp<1 
num>> (pmax-5) 


(num>> (pmax-5)) & 1 


e ee 9 9 - 
O O O O O = 
ooo oc oc oc 
ooo oc oc oc 
o o ° coc oc 
oor o onm 
oor o ° 2 
ο O O O 9 - 
oo O O O = 
Oo ϱ ϱ ο 9 o 


temp | ((num>>(pmax-5)) & 1) 


在 第 3 轮 运算 中 有 


num 
temp 

temp<<1 

num>> (pmax 一 2) 


(num>>(pmax—2))&1 


coooo oF 
coco or 
ooooooc 
ooooooc 
ooooosoc 
ooooooc 
oooooocx 
ooooooc 
oo5ooox 
=== ο Ὁ 9 


temp| ((num>> (pmax—2)) 8.1) 
在 第 4 轮 运 算 中 有 


num 


temp 


1 

0 
temp<<1 | 0 
num>> (pmax 一 7) | 0 
0 


(num>>(pmax—7))&1 


oooo or 
σος 6 6 
6-65 
oor ooo 
ooooo - 
oooooe 
oooooc 
= ° = = ° = 
== — Ὁ = .°- 


temp| ((num>>(pmax—7))&1) | 0 
以 此 类 推 可 获得 最 终结 果 : 00110 01111, 
函数 permutations(int num. const int p[ ]. int pmax.int n) 实 现 了 S-DES 中 所 需 的 各 
种 置换 操作 。 
程序 清单 3-4 中 用 到 shiftLSCGnt num) 来 实现 循环 移 位 操作 ,函数 参数 为 输入 ,shiftLS 
Gint num) 函数 实现 的 是 左右 两 部 分 各 循环 左 移 一 位 的 功能 ,完整 代码 见 程序 清单 3-6。 
程序 清单 3-6 


0l int SDES::shiftLS (int num) 


oet 

03 int temp; 

04 int L,R; // 左 右 各 半数 据 
05 I= (num > 5)&0x1F; 

06 R= num&0x1F; 

07 T= ((G40xF)«« 1) | ( (L&0x10)> > 4); 

08 Fe ((R&OxF)«« 1) | ( (R&0x10)> > 4); 

09 temp- (I<< 5) |R; 

10 return temp; 
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对 输入 数据 的 左右 两 部 分 进行 循环 左 移 同样 利用 了 位 运算 的 特征 。 例 如 ,在 第 5 行 中 
计算 左边 数据 时 是 将 输入 右 移 5 位 ,假如 输入 为 00110 01111 ,那么 计算 工 的 右 移 过 程 为 
num/0 0 1 1 O|O0 1 1 1 1! 
(nu!55)|0 0 ο ο ojo ο 1] 1 ο 
(Qum»55)&0xXIF| 0 ο ο 0 0|0 ο 1 1 ο 


1F AY ΕΠΗ 11111, BA &oxlF 的 作用 是 将 除 右 侧 5 位 数据 外 ,其 他 位 置 的 数据 均 
置 为 0。 例 如 , 若 输入 的 数据 为 11111111 , 则 与 Ox1F 进行 “&” 运 算 的 结果 为 0001111。 而 
计算 R 时 则 直接 进行 &0xlF 运算 ,假如 输入 为 00110 01111 ,那么 计算 过 程 为 

num | 0 0 1 1 0 0 1 1 1 1 
HF | 0- Ὁ Ὁ wi 3 1 1 1 
numéOxXIF| 0 ο 0 0 0|0 1 1 1 1 


在 获得 左右 各 部 分 的 数据 之 后 ,要 进行 循环 左 移 1 位 ,其 实现 过 程 为 输入 的 数据 与 
OxF HEIT“ S ”运算 后 左 移 1 位 。 将 输入 数据 与 0x10 进行 “中 "运算 ,然后 右 移 4 位 获得 另 一 
个 数据 ,将 两 个 数据 进行 “或 "运算 最 终 获 得 循环 左 移 1 位 的 结果 。 

例如 ,输入 的 数据 为 10010, 进 行 循 环 左 移 的 过 程 如 下 : 

numl | 0 0 1 1 0 

numl&(0xF)| 0 0 1 1 ο 

(num1&.(0xF))<<1} 0 1. 1 ο 0 

在 第 1 个 数据 处 理 完 之 后 ,处 理 第 2 个 数据 : 
num2 | 0 0 1 1 0 

num28&.(0x10 | 0 0 ο ο ο 

(num2&.(0x10))>>4] 0 0 0 ο ο 

然后 将 两 个 数 进行 “或 "运算 ,得 numl | num2 —01100, 

在 获得 两 个 子 密 钥 之 后 ,就 可 以 进行 加 密 和 解密 。 加 密 过 程 包括 IP W. f 运算 .SW 
左右 交换 运算 、fr, 运 算 和 1IP” "置换, 在 程序 中 通过 隐 数 encryption() 来 实现 。encryption() 
函数 具体 实现 的 代码 见 程序 清单 3-7。 


程序 清单 3-7 
Ol void SDES: :encryption() 
e { 
03 cipherText- pemutations (plainText, IP, 8,8); 
04 int RL; / 8C Jes “δα AY WM Ae ATE 
05 Re cipherText&OxF; 
06 I> ((cipherText&OxF0)? > 4) ; 
07 fk(keyl,L,R); 
08 int tmp L; 
09 I-R; 
10 F= temp; 


n fk(key2,L,R) ; 
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12 temp- (I«« 4) IF; 
13 cipherText= permutations (tenp, IPT, 8,8) ; 
14 } 


在 程序 清单 3-7 中 ,第 3 行 是 调用 置换 函数 完成 IP 置换 ,第 4 行 到 第 6 行将 IP 置换 得 
到 的 数据 取 右 8 位 分 割 成 左右 各 半 ,第 7 行为 使 用 密 钥 keyl 进行 的 第 一 次 fk 运算 ,第 8 fT 
到 第 10 行为 SW 运算 ,第 11 行为 使 用 密 钥 key2 进行 的 第 二 次 fk 运算 ,第 13 行为 IP ' 
置换 。 

在 整个 encryption() 函 数 中 , 仅 fk 运算 尚未 解决 ,fk 运算 的 相关 函数 见 程序 清单 3-8。 

程序 清单 3-8 


Ol void SDES::fk(int key, int &left,int right) 


0 { 

03 int I= left; 

04 int R-right; 

05 int temp; 

06 int tempL, tempR; 

07 temp- ( (permutations (R, EP], 4, 4) )<< 4) | (pemutations (R, EE2, 4,4)) ; 


08 temp- temp^key; 
09 tempR= temps0xF; 
10 tempi ((temp&OxF0) » > 4) ; 


1 templ= SO[ ( (tempL&0x8)> > 2) | (tempLél) ] [ (tempL> > 1) 0x3]; 
12 tempR= S1[ ( (tempR&0x8)> > 2) | (tempRél) ] [ (tempR> > 1) 0x3]; 
13 temp- (templ<< 2) | tene; 

14 temp- permmitations (temp, P4, 4, 4) ; 

15 left-I^tenp; 

16 } 


在 程序 清单 3-8 中 ,第 7 行 代码 实现 了 E/P 扩展 ,第 8 行 代码 实现 E/P 扩展 后 获得 的 
输出 与 密 钥 进行 异 或 运算 ,第 11 行 和 第 12 行 是 进行 S 盒 运算 ,第 14 行 是 实现 PA 运算 ,第 
15 行 是 “ 异 或 ”运算 。 

在 函数 的 参数 中 int &left 使 用 了 引用 参数 ,这样 ,能 直接 获得 left 的 值 。 

在 fkO 〇 函数 中 比较 复杂 的 是 S 盒 运算 ,S 盒 由 二 维 数组 组 成 。 行 由 第 1 位 和 第 4 位 确 
定 , 列 由 第 2 位 和 第 3 位 来 确定 ,假设 输入 的 数据 是 1010, 在 执行 *&0x8” 运 算 后 , 除 第 1 位 
数据 保持 不 变 外 ,其 他 数据 置 为 0, 然后 再 右 移 2 位 计算 如 下 : 


tempL| 1 ο 1 ο 

0χ8|1 0 ο ο 

tempL&-0x8| 1 0 ο ο 
(tempL&0x8)>>2/0 0 1 ο 


455 μα Bee AE μπα να UR μα 0G E 
47" ”运算 后 就 获得 “ 行 ”。 

列 运 算是 取 第 2 位 和 第 3 位 , 先 右 移 1 位 ,再 与 “0x3? 进 行 “& "运算 , 即 获得 “ 列 ”, 若 输 
入 的 数据 为 1010 ,其 运算 过 程 如 下 : 
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tempL| 1 ο 1 ο 

Ox3|0 ο 1 1 

tempL>>1}0 1 ο 1 
(tempL>>1)&0x3| 0 ο ο 


S1 盒 的 运算 过 程 与 S0 盒 的 运算 过 程 相 同 , 只 是 使 用 了 输入 的 不 同 部 分 。 
解密 函数 decryption() 与 加 密 函 数 的 实现 过 程 类 似 , 代 码 见 程序 清单 3-9 。 


程序 清单 3-9 
Ol void SIES: :decryption() 
2 { 
03 decipherText= permutations (cipherText, IP, 8,8) ; 
04 int RL; / [86:3 Ja BE X yÑ Fe d WE 
05 Re decipherText&0xF; 
06 I= ((decipherText&OxF0)» > 4) ; 
07 fk(key2,L,R) ; 
08 int temp-L; 
09 I-R; 
10 R- temp; 
nu fk (keyl,L,R); 
12 temp- (I«« 4) I; 


B decipherText= permutations (temp, IPI, 8,8) ; 

14 } 

decryption() 函 数 中 各 部 分 的 实现 方法 可 参考 加 密 函 数 encryption() ,具体 实现 的 方法 
完全 相同 ,只 是 在 先后 顺序 上 有 所 不 同 。 


3.5 Feistel 密码 结构 


在 对 数据 加 密 的 方法 中 ,比较 典型 的 加 密 方法 有 两 种 ,一 种 是 流 加 密 方法 ,该 方法 在 加 
密 过 程 中 每 次 仅 加 密 一 位 或 一 个 字 节 ,Vigenere 加 密 方法 是 典型 的 流 加 密 方 法 。 另 一 种 加 
密 方法 是 分 组 加 密 方 法 ,这 种 方法 在 加 密 时 将 明文 组 作为 整体 进行 加 密 , 得 到 的 密 文通 常 是 
与 之 等 长 的 密 文 组 。 

现在 使 用 的 几乎 所 有 的 对 称 分 组 加 密 算法 都 是 基于 Feistel 分 组 密码 结构 的 ,因此 ,在 
进一步 研究 对 称 密码 之 前 ,了 解 Feistel 密码 结构 是 十 分 必要 的 。 

Feistel 密码 是 以 德国 出 生 的 、 在 IBM 工作 的 物理 学 家 及 密码 学 家 Horst Feistel 命名 
的 加 密 方 法 ,属于 分 组 对 称 密码 结构 。 这 种 加 密 结 构 广 泛 应 用 于 分 组 加 密 , 包 括 数 据 加 密 标 
准 (DES) 算 法 。Feistel 结构 的 加 密 和 解密 过 程 非常 相似 ,有 时 候 除 了 密 钥 顺 序 有 变化 外 ， 
其 他 过 程 都 一 样 。 

Feistel 密码 结构 的 加 密 和 解密 的 基本 结构 如 图 3-5 所 示 。 

图 3-5 中 ,F 为 轮 函数 (或 圈 函 数 ),K。 ,Ki,…,K, 为 与 轮 数 0,1,…,n 相对 应 的 子 密 钥 。 
Feistel 密码 结构 的 基本 操作 过 程 如 下 : 


3.6 习题 与 实践 题 


图 3-5 Feistel 密码 结构 


CD 将 输入 的 明文 分 割 成 相同 大 小 的 两 部 分 (Lo + Ro) o 
(2) 对 i 二 0,1,…,n 的 每 一 轮 计算 : 
Li n R; 


Ra = L, Q F(GR;.K) bs 
(3) RARER, Lati) 。 
解密 密 文 (R, Lat EWE i 二 n,n 一 1,…,0, 每 一 轮 的 计算 方法 为 
Ry == Das 
(3-8) 


L, = Ra ϐ F(L,. ,Ki) 
最 后 获得 的 (Lu Ro ) 就 是 解密 得 到 的 明文 。 
大 多 数 采用 Feistel 结构 的 密码 算法 都 是 采用 对 称 的 方法 , 即 左 半 部 分 和 右 半 部 分 的 大 
小 相同 ,但 也 有 少数 加 密 算 法 采用 了 非 对 称 的 密码 算法 ,Skipjack 加 密 算法 就 是 一 种 非 对 称 
的 加 密 算法 。 


3.6| 习题 与 实践 题 


3.6.1 习题 


1. 已 知 S-DES 算法 的 输入 密 钥 是 1011011011, 试 计算 S-DES 的 密 钥 K1 和 K2. 

2. 在 S-DES 算法 中 使 用 了 复杂 函数 {κ 进行 相应 的 运算 , 试 简要 说 明 {κ 函数 的 基本 
原理 ,并 给 出 相应 的 实例 说 明 {κ 函数 的 运算 过 程 。 

3. 已 知 输入 的 数据 是 10111110. 8] ΚΙ 为 10001011, 试 计算 fi, o 


"p. 
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4. SDES 算法 中 的 一 个 重要 核心 技术 是 使 用 了 S 盒 , 试 简要 说 明 S-DES 算法 中 SA 
使 用 的 基本 原理 ,并 通过 相应 的 实例 说 明 。 
5. 简要 说 明 Feistel 密码 结构 的 加 密 和 人 解密 的 基本 原理 。 


3.6.2 实践 题 


利用 3.4 节 实 现 的 S-DES 算法 ,并 对 该 实现 方法 进行 适当 改造 ,具体 内 容 为 : 待 加 密 的 
明文 文件 为 “dataIn. txt”, 密 钥 存储 在 "key. txt" 文 件 中 ,加 密 后 密 文保 存 的 文件 为 “cipher. 
txt”, 经 过 解密 后 的 文件 存储 在 “decipher. txt” ,同时 程序 具有 比较 明文 和 解密 后 明文 相 比 
较 的 功能 ,用 于 判断 密 文正 常 被 解密 , 试 完 成 上 述 程序 。 

提示 : 文件 处 理 可 以 采用 文件 流 , 输 入 文件 流 和 输出 文件 流 既 可 以 作为 类 的 私有 成 员 
变量 ,也 可 以 作为 函数 的 相关 参数 来 处 理 文件 ,在 读 取 文 件 或 输出 文件 时 ,可 以 使 用 输入 流 
和 输出 流 的 重 载 来 简化 输入 和 输出 。 


DS *» 法 


DES(Data Encryption Standard) 曾 是 使 用 最 广泛 的 数据 加 密 标 准 , 这 个 算法 本 身 被 称 
为 数据 加 密 算法 (DEA)。DES 于 1977 年 被 美国 国家 标准 局 即 现在 的 国家 标准 和 技术 研究 
所 采纳 为 联邦 信息 处 理 标准 46 (FIPS PUB 46)。 

DES 目前 被 推荐 在 一 般 商 业 应 用 中 使 用 ,而 不 用 DES 来 保护 官方 的 数据 ,新 版 本 的 数 
据 加 密 采 用 了 三 重 DES。 因 为 DES 与 三 重 DES 的 加 密 、 解 密 方法 是 相同 的 ,因此 理解 DES 
算法 仍 有 很 重要 的 意义 。 


4.1 DES 算法 原理 


DES 算法 的 输入 是 64 位 明文 , 密 钥 长 度 为 64 位 。 在 64 位 的 密 钥 中 ,第 8、16、24、32、 
40.48.56 和 64 位 是 校 验 位 ,因此 ,DES 算法 的 实际 密 钥 长 度 是 56 位 。DES 算法 的 加 密 过 
程 如 图 4-1 所 示 。 

DES 算法 的 基本 过 程 可 以 描述 如 下 : 

(1) 在 获得 64 位 明文 后 ,对 明文 进行 一 个 初 ( IP ) 
始 置换 , 即 IP 置换 。 

(2) 对 置换 后 的 明文 进行 分 组 ,分 成 左 半 部 
分 和 右 半 部 分 。 

(3) 进行 16 轮 完 全 相同 的 运算 ,这 个 运算 的 
函数 也 被 称 为 F 函数 。 在 每 一 轮 的 运算 过 程 中 


明文 


使 用 各 自 不 同 的 密 钥 。 Rel e Qu. K) 

(4) 在 经 过 16 轮 运算 后 ,将 左右 两 部 分 合 在 — 
µη ΤΩΣ τ. EET UN S 
这 样 就 完成 了 算法 的 全 部 过 程 。 

DES 的 解密 过 程 的 算法 与 加 密 过 程 的 算法 x 
完全 一 样 ,不 同 的 地 方 有 两 点 : 第 一 个 不 同 点 是 [eesermeno] [nem 


解密 密 钥 的 顺序 与 加 密 密 钥 正好 相反 ,加 密 密 钥 
分 别 是 Κιν Ks,,…, Kis ,解密 密 钥 分 别 是 Kiso 
Ki ,…, Ki。 第 二 个 不 同 点 是 子 密 钥 产生 时 采用 
循环 左 移 来 产生 子 密 钥 ,而 解密 密 钥 是 通过 循环 图 4-1 DES 算 法 的 基本 过 程 
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右 移 来 产生 子 密 钥 。 解 密 子 密 钥 循环 右 移 的 位 数 为 : 0,1,2,2,2,2,2,2,1,2,2,2,2,2,2,1。 
这 种 解密 模式 是 典型 的 Feistel 密码 结构 的 解密 模式 。 

DES 算法 的 核心 部 分 是 基本 过 程 中 的 第 3 步 , 第 3 步 是 关于 每 一 轮 的 运算 过 程 ,该 运 
算 过 程 的 具体 步骤 如 图 4-2 所 示 。 


HH 
图 4-2 单 轮 DES 加 密 过 程 


图 4-2 的 左 半 部 分 为 一 轮 的 加 密 过 程 , 右 半 部 分 为 这 一 轮 加 密 密 钥 的 生成 方法 。 每 一 
轮 的 加 密 都 采用 不 同 的 子 密 钥 。 


4.2 DES 密 钥 生成 


DES 算法 输入 的 密 钥 为 64 位 ,由 于 不 考虑 每 个 字 节 的 第 8 位 ,那么 DES 算法 的 密 钥 就 
从 64 位 减 至 56 位 ,这 个 过 程 通过 一 置换 操作 来 完成 ,置换 方法 见 表 4-1。 
#4-1 DES 密 钥 初 始 置换 


通过 表 4-1 的 置换 操作 去 掉 了 每 个 字 节 的 第 8 位 ,同时 还 对 输入 的 密 钥 进行 了 混 活 操 
作 。 在 获得 了 56 位 的 密 钥 之 后 ,将 56 位 的 密 钥 分 成 两 部 分 。 根 据 轮 数 不 同 对 左右 两 部 分 
分 别 循环 左 移 1 位 或 2 位 。 每 轮 移 位 的 多 少见 表 4-2. 
表 4-2 每 轮 循环 左 移 的 位 数 


在 完成 循环 左 移 之 后 对 获得 的 密 钥 再 进行 压缩 置换 ,压缩 置换 进行 了 两 部 分 的 操作 ,一 
部 分 是 进行 压缩 ,将 56 位 的 密 钥 压缩 为 48 位 的 密 钥 , 另 一 部 分 是 进行 置换 操作 ,其 结果 是 
实现 了 对 密 钥 的 混淆 。 


4.3 DES 算法 加 密 过 程 


压缩 置换 的 具体 细节 见 表 4-3。 


R43 压缩 置换 
14 17 1 24 1 5 3 28 15 6 21 10 


经 过 压缩 置换 后 获得 的 密 钥 用 于 每 一 轮 的 加 密 。 
解密 密 钥 与 加 密 密 钥 相同 ,使 用 的 时 候 正好 与 加 密 密 钥 的 顺序 相反 。 


4.3. DES 算法 加 密 过 程 


DES 加 密 算法 的 输入 明文 为 64 位 的 明文 ,其 加 密 过 程 的 第 1 步 是 对 输入 的 明文 进行 
IP 置换 ( 见 图 4-1) ,置换 的 方法 见 表 4-4。 


R44 IP 置换 


经 过 IP 转换 得 到 混淆 的 明文 ,将 IP 置换 后 得 到 的 数据 分 割 成 左右 两 部 分 ,将 右 半 部 分 
的 32 位 扩展 到 48 位 ,这 个 操作 产生 了 与 密 钥 长 度 相同 的 数据 ,可 以 和 密 钥 进行 异 或 操作 。 
扩展 置换 的 具体 方法 见 表 4-5。 


表 4-5 扩展 置换 
32 1 2 3 4 5 
4 5 6 7 8 9 
8 9 10 11 12 13 
12 13 14 15 16 17 
16 17 18 19 20 21 
20 21 22 23 24 25 
24 25 26 27 28 29 
28 29 30 31 32 1 


ER 4-5 中 ,中 间 部 分 为 输入 的 数据 ,左右 两 部 分 为 扩展 得 到 的 数据 ,扩展 置换 的 原理 
见 图 4-3。 

在 经 过 扩展 置换 之 后 ,获得 的 数据 的 位 数 与 密 钥 的 位 数 相同 , 均 为 48 位 。 此 时 将 扩展 
置换 得 到 的 数据 与 密 钥 进行 “ 异 或 "运算 ,并 将 “ 异 或 "运算 的 结果 进行 S 盒 代 换 。 

DES 算法 的 S 盒 共有 8 个 ,48 位 的 输入 被 分 为 8 个 6 位 的 分 组 ,每 个 分 组 对 应 一 个 S 
盒 进 行 代 换 操作 : 分 组 1 由 第 1 个 S 盒 进行 操作 ,分 组 2 由 第 2 个 S 盒 进行 操作 ,以 此 类 


"sr. 
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1234 5678 9 1011 12 13 14 15 16 


32 1 


12345 6 7 8 9 1011 12 13 14 15 16 17 18 19 20 21 22 23 24 
图 4-3 扩展 置换 原理 示意 图 


推 。 每 个 S 盒 是 6 位 输入 ,4 位 输出 ,因此 48 位 的 输入 数据 经 过 S 盒 代 换 后 输出 32 位 数 
据 。S 盒 的 代 换 基本 原理 见 图 4-4。 
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图 4-4 S 盒 代 换 示意 图 
S 盒 代 换 输出 见 表 4-6. 
表 4-6 SEHR 
14 | 4 | 13 | 1 2|15|11|8 a |1 | 6 12| 5|9 | 0 7 
δι 0|15 7/4/14] 2 |18|1 | 10] 6 | 12/11] 9 |] 5 | 3 8 
4 1 |14] 8 | 13] 6 | 2/11 | 15] 12] 9 | 7 10 | 5 | ο 
5111812149 1 z δη 3 | 0 6 | ο | 6 | 18 
15]1 |] 8]14] 6 |11| 3 4] 9] τ | 12] 183]|12| οἰ 5 | 10 
: 3 ae | 4x |7]|35| £ | $&S| 1-32 6| ο € | 9 pü | α 
+ o | 14] qo l at | 10] 4 | 13 5 | 8 | 12] 6 | 9 3 | 2 | 15 
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10 | ο] 9 | 14] 6 3 | 15 πε | 12) 7 | ΠΑ | 2 
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4.3 DES 算法 加 密 过 程 


续 表 
12 $ 10 15 9 2 6 8 0 13 3 4 14 7 5 11 
_ 10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8 
s: 9 14 15 5 z 8 12 3 7 0 4 10 1 13 11 6 
4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13 
4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1 
= 13 0 11 7 4 9 y 10 14 3 5 12 2 15 8 6 
1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2 
6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12 
13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7 
58 1 15 13 8 10 3 7 4 12 5 6 11 0 14 3 
7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8 
2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11 


DES 算法 确定 S 盒 项 的 方法 与 SDES 算法 类 似 。 假 设 S 盒 的 输入 是 αι ,az ,as ,at ass 
as 的 6 位 输入 ,那么 ca 和 ws 组 合 构成 一 个 2 位 数 ,从 0 到 3, 确定 S 盒 的 行 。 从 a, 到 as 构 
成 一 个 4 位 数 , 从 0 到 15, 确 定 S 的 列 。 
例如 ,S 盒 的 输入 是 110101。 第 1 位 和 第 6 位 组 合 就 得 到 11, 它 对 应 着 S 盒 的 第 3 行 
GE: S 盒 是 从 第 0 行 . 第 0 列 开始 计算 的 )。 中 间 的 4 位 为 1010, 对 应 第 10 列 。 以 SI S 
例 计 算 输出 ,S1[3][10]=3 ,那么 对 应 的 输出 则 为 0110, 
S 盒 代 换 是 DES 算法 最 关键 的 一 步 ,DES 算法 的 其 他 步骤 的 计算 都 是 线性 的 ,只 有 S 
盒 是 非 线 性 运算 , 它 对 DES 的 安全 性 起 到 了 关键 作用 。 
S 盒 代 换 后 获得 32 位 的 输出 ,将 S 盒 的 输出 进行 P 盒 运算 ,P 盒 运算 实际 上 就 是 一 种 
置换 运算 ,P 盒 的 置换 方法 见 表 4-7. 
RAT PARR 
16 7 20 21 29 12 28 17 15 23 26 18 31 10 
ΙΗΗΗΗΡΒΗΗΜΗΗΒΒΕΙΗΕ 
将 P 盒 置换 后 得 到 的 结果 与 最 初 的 64 位 分 组 的 左 半 部 分 进行 “ 异 或 ”, 然 后 按照 图 4-2 
所 示 的 方法 将 左右 两 部 分 进行 交换 ,在 进入 下 一 轮 的 运算 。 


在 第 16 轮 运算 结束 时 , 左 \ 右 两 半 不 再 进行 交换 。 将 左 、 右 两 半 合 并 在 一 起 形成 输出 ， 
然后 进行 末 置 换 。 末 置换 其 实 就 是 初始 置换 的 逆 过 程 。 末 置换 的 方法 见 表 4-8。 


表 4-8 AAR 
40 31 
38 29 
36 27 
34 25 


末 置 换 的 输出 就 是 整个 加 密 过 程 的 输出 。 
解密 过 程 除 密 钥 的 使 用 顺序 不 同 以 外 ,其 他 过 程 和 加 密 过 程 完全 相同 。 
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4.4! DES 算法 实现 


DES 算法 的 实现 过 程 中 主要 需要 解决 以 下 问题 : 

(1) 用 于 密 钥 生成 和 加 密 过 程 中 的 各 种 置换 运算 。 

(2) 输入 密 钥 、 密 钥 生 成 .加 密 解 密 过 程 中 的 数据 分 割 。 

(3) E/P 扩展 。 

(4) S 盒 运算 。 

(5) 各 种 移 位 运算 。 

上 述 的 各 类 需要 解决 的 问题 大 多 数 与 S-DES 算法 中 的 问题 类 似 , 只 是 比 S-DES 略为 复 


杂 一 些 。DES 算法 中 需要 处 理 的 各 种 数据 以 及 相关 的 操作 均 封 装 在 DES 类 中 ,DES 类 的 
具体 结构 如 图 4-5 所 示 。 
DES 

- key : unsigned long long 

- plainText : unsigned long long 

- cipherText : unsigned long long 

- decipherText : unsigned long long 

- encKey[16] : unsigned long long 

- IP[64] : Static const int 

- IPI[64] : static const int 

- keyIP[56] : static const int 

- encKeyRound[16] : static const int 

- CP[48] : static const int 

- EP[48] : Static const int 

- SBox[32][16] : static const int 

- P[32] : static const int 

+ DES 0 

+ setKey (string k) : void 

* setPlainText (string p) : void 

+ permutations (unsigned long long num, const int pf], int pmax, int n) : unsigned long long 

+ genEncKey () : void 

+ SBoxes (unsigned long long num) : unsigned long long 

+ encryption) () : void 

+ decryption) 0 : void 

- keyLShitt () : unsigned long long 


图 4-5 DES 类 的 基本 结构 


DES 类 声明 的 代码 见 程序 清单 4-1. 


程序 清单 4-1 
OL class DES 
a2 { 
03 public: 
04 DES ()7 
05 void setKey (string k); 
06 void setPlainfext (string p); 


07 unsigned long long permutations 
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08 (unsigned long long num,const int p[],int pmax, int n); 
09 void genEncKey () ; 

10 unsigned long long SBoxes (unsigned long long num); 

u void encryption ()7 

12 void decryption () ; 

B void showBinary (unsigned long long num); 

14 void showResult () ; 

15 private: 

16 unsigned long long keyLShift (unsigned long long k, int n); 
17 unsigned long long key; 

18 unsigned long long plainText; 

19 unsigned long long cipherText; 

20 unsigned long long decipherText; 

21 unsigned long long encKey[16]; 

2 static const int IP[64]; 

23. Static const int IPI[64]; 

24 Static const int keyIP[56]; 


25 static const int encKeyRound[16] ; 

26 static const int CP[48]; 

27 static const int EP[48]; 

28 static const int SBox[32] [16]; 

29 static const int P[32]; 

3 F; 

在 程序 清单 4-1 中 各 变量 常量、 函数 的 功能 如 下 : 

输入 的 密 钥 。 

输入 的 明文 。 

decipherText 解密 密 文 得 到 的 明文 。 
encKey[16] 一 一 加 密 密 钥 , 共 16 个 。 

* IP[64] 一 一 加 密 明 文 或 解密 密 文 时 的 初始 置换 数组 。 

。 IPIL64] 一 一 加 密 明 文 或 解密 密 文 时 的 末 置 换 数组 。 
keyIP[56] 一 一 密 钥 置换 数组 ,用 于 将 密 钥 由 64 位 转换 为 56 位 。 
。 encKeyRound[16] 一 一 用 于 生成 子 密 钥 时 确定 左 移 多少 的 数组 。 


* key 


* cipherText 


* CPL48] 一 一 密 钥 压缩 置换 的 数组 ,用 于 将 密 钥 由 56 位 压缩 为 48 位 。 


。EPL48] 一 一 扩展 置换 数组 ,用 于 将 32 位 的 明文 扩展 为 48 位 明文 。 
° SBox[32][16] 一 一 用 于 S 盒 运 算 的 二 维 数组 。 

。P[32] 一 一 在 经 过 S 盒 运算 后 的 P 置换 数组 。 

* DESO —-—DES 类 的 构造 函数 ,用 于 初始 化 数据 。 

。 setKey() 一 一 用 于 设置 初始 密 钥 的 函数 。 

。 setPlainText() 一 一 用 于 设置 明文 的 函数 。 


* permnutations() 一 一 用 于 密 钥 生成 ,加密 和 解密 等 过 程 的 各 类 置换 的 函数 。 


。 genEncKey() 一 一 用 于 生成 加 密 、 解 密 用 子 密 钥 的 函数 。 
* SBoxes() 一 一 用 于 S 盒 运 算 的 函数 。 
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。 encryption() 一 一 用 于 加 密 的 函数 。 

。 decryption() 一 一 用 于 解密 的 函数 。 

° showBinary() 一 一 将 数据 以 二 进 制 形式 显示 的 函数 ,用 于 检查 数据 计算 过 程 。 

° showResult() 一 一 用 于 显示 解密 、 解 密 等 结果 的 函数 。 

DES 算法 的 密 钥 和 加 密 的 数据 长 度 的 最 大 位 数 为 64 位 ,因此 在 程序 中 利用 了 
unsigned long long 型 数据 ,unsigned long long 型 数据 的 长 度 正好 为 64 位 ,这 样 可 以 在 一 
定 程 度 上 简化 数据 的 处 理 。 

本 例 中 DES 算法 根据 以 下 几 个 过 程 来 完成 : 

CD 初始 化 数据 。 

(2) 计算 加 密 和 解密 用 的 子 密 钥 。 

(3) 对 明文 进行 加 密 , 对 加 密 后 的 明文 进行 解密 。 


4.4.1 初始 化 数据 


初始 化 数据 由 构造 函数 获取 密 钥 函数 和 获取 明文 函数 来 完成 ,同时 还 需要 初始 化 各 置 
换 数组 及 S 盒 。 构 造 函 数 用 于 初始 化 明文 , 密 文 解密 后 的 明文 和 密 钥 。 构 造 函 数 的 具体 代 
码 见 程序 清单 4-2, 


程序 清单 4-2 

Ol LDES::DES() 

2 { 

03 key= 0; // 初 始 化 密 钥 为 0 

04 plainfext- 0; // 初 始 化 明文 为 0 

05 cipherText= 0; // 初 始 化 密 文 为 0 

06 decipherText= 0; // 初 始 化 解密 明文 为 0 
0) } 


构造 函数 比较 简单 ,只 是 将 需要 初始 化 的 数据 置 为 0。 
各 类 常量 数组 的 初始 化 见 程序 清单 4-3。 


程序 清单 4-3 
Ol const int DTES::IP[64]=1{ 
02 58,50, 42, 34, 26, 18, 10,2, 60, 52, 44, 36, 28, 20, 12,4, 
03 €2, 54, 46, 38, 30, 22, 14, 6, 64, 56, 48, 40, 32, 24, 16,8, 
04 57,49, 41,33, 25,17, 9,1, 59, 51, 43, 35, 27,19, 11,3, 
05 61,53, 45, 37,29, 21, 13,5, 63, 55, 47, 39, 31, 23,15, 7}; 
06 const int IES::IPI[64]- ( 
07 40,8, 48, 16,56, 24, 64, 32, 39, 1, 41, 15, 55,23, 63, 31, 
08 38,6,46,14,54,22, 2, 30, 31, 5, 45, 13, 53,21, 61,29, 
09 36, 4, 44, 12, 52, 20, 60,28, 35, 3, 43, 11, 51,19, 59,27, 
10 34,2,42,10,50, 18,58, 26, 33,1, 41, 9, 49, 17,57,25); 
11 const int IES::keyIP[56]- { 
12 51,49,41,33,25,17, 9,1, 58, 50, 42, 34,26, 18, 


13 10,2,59,51, 43, 35,27, 19, 11, 3, 60, 52, 44, 36, 
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const int DES::! 


63,55, 47,39, 31, 23, 15, 7, €2, 54, 46, 38, 30,22, 
14, 6, 61, 53, 45, 37,29, 21, 13, 5, 28, 20, 12, 4}; 


14,17,11,24,1,5,3,28,15, 6, 21,10, 
23,19,12,4,26,8,16, 7,27,20,13,2, 
41,52, 31, 37, 41, 55, 30, 40, 51, 45, 33, 48, 
44,49, 39, 56, 34, 53, 46, 42, 50, 36, 29,32) ; 
[48]= ( 
32,1,2,3,4,5,4,5,6,1,8,9, 
8,9,10,11,12,13,12,13,14,15,16,17, 
16,17,18,19, 20, 21,20,21,22,23,24,25, 
24,25, 26,27, 28, 29, 28, 29, 30, 31, 32,1); 


const int DES: :SBox [32] [16]- { 


14,4,13,1,2,15,11,8,3,10,6, 12,5, 9,0, 7, 
0,15,7,4,14,2,13,1,10, 6, 12,11, 9,5,3,8, 
4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0, 
15, 12,8,2,4,9,1,7,5,11, 3,14, 10, 0, 6,13, 
15,1,8, 14, 6, 11,3,4, 9,7,2,13, 12,0,5, 10, 
3,13,4,7,15, 2,8, 14, 12,0,1,10,6,9,11,5, 
0,14,7,11, 10,4, 13,1,5,8, 12, 6,9,3,2,15, 
13,8,10,1,3,15, 4,2, 11, 6,7, 12,0, 5, 14, 9, 
10, 0,9, 14, 6,3, 15,5,1,13, 12, 7,11,4,2,8, 
13,7,0, 9,3, 4, 6, 10,2,8,5, 14, 12, 11,15,1, 
13,6,4, 9,8, 15, 3,0, 11,1,2, 12,5, 10,14, 7, 
1,10,13,0, 6, 9,8, 1,4, 15, 14,3, 11, 5,2, 12, 
7,13,14, 3, 0, 6, 9,10,1,2,8,5,11,12,4,15, 
13,8,11,5, 6,15,0,3,4,7,2,12,1, 10,14, 9, 
10, 6,9,0,12, 11,7, 13, 15,1,3,14,5,2,8,4, 
3,15,0, 6,10, 1, 13,8, 9,4,5, 11,12, 7,2, 14, 
2,12,4,1,7,10, 11, 6,8,5, 3,15, 13,0,14, 9, 
14, 11,2, 12, 4,7,13,1,5,0,15, 10, 3, 9,8, 6, 
4,2,1,11,10, 13, 7,8, 15, 9, 12,5, 6,3,0,14, 
11,8,12,7,1, 14, 2,13, 6, 15,0, 9,10, 4,5, 3, 
12,1,10, 15, 9,2, 6,8, 0,13, 3, 4,14,7,5,11, 
10,15, 4,2, 7,12, 9,5, 6,1, 13, 14,0, 11,3, 8, 
9,14,15,5,2,8,12,3, 7,0, 4,10, 1,13, 11, 6, 
4,3,2,12,9,5,15, 10,11, 14,1,7,6,0,8,13, 
4,11,2,14, 15,0, 8,13, 3,12,9,7,5,10, 6,1, 
13,0,11,7,4, 9,1, 10,14, 3,5, 12,2, 15,8, 6, 
1,4,11, 13, 12,3, 7,14, 10, 15, 6,8,0,5, 9,2, 
6,11,13,8, 1,4, 10,7, 9,5, 0,15, 14,2, 3,12, 
13,2,8,4, 6,15, 11,1, 10, 9,3,14,5,0,12,7, 
1,15, 13,8, 10,3, 7,4, 12,5, 6,11,0,14, 9,2, 
7,11,4,1,9, 12,14, 2,0, 6,10, 13,15, 3, 5,8, 


const int DES: :encKeyRound[16]- (1, 1,2,2,2,2,2,2,1,2,2,2,2,2,2,1); 
const int DES: :CP[48]- ( 
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59 2,1,14,7,4,10, 8, 13, 15, 12, 9,0,3,5, 6,11}; 

60 const int DES::P[32]= { 

6L 16, 7,20,21,29,12,28,17,1,15, 23, 26, 5, 18, 31,10, 
e 2,8,24,14, 32,21,3,9,19,13,30,6,22,11,4,25); 


常量 中 的 S 盒 采用 了 二 维 数组 进行 处 理 ,而 不 是 采用 三 维 数组 ,在 加 密 运 算 过 程 中 会 对 
S 的 使 用 方法 做 进一步 的 说 明 。 
设置 密 钥 通过 函数 setKey() 来 完成 ,setKey() 函 数 的 具体 代码 见 程序 清单 4-4。 


程序 清单 44 
Ol void DES: :setKey (string k) 
o { 
03 inti; 
04 unsigned long long c; 
05 for(i-0;i«8;it*) 
06 t 
07 c-k[i]; 
08 key- (c<< (7- i) * 8) | key; 
09 } 
10 } 


设置 密 钥 函数 的 参数 为 字符 串 ,设置 密 钥 函数 的 功能 为 将 包含 8 个 字符 的 字符 串 转 换 
为 unsigned long long 型 数据 ,代码 中 的 第 8 行 利 用 移 位 的 方法 实现 将 输入 按 顺 序 放置 到 密 
钥 对 应 的 位 置 。 注 意 事项 为 先 将 字符 转换 为 unsigned long long 型 数据 ,否则 字符 移 位 后 会 
出 现 丢失 数据 的 问题 。 
在 设置 密 钥 过 程 中 的 具体 移 位 方法 见 图 4-6. 
οι | 
k[0] < 56|key 
B] — — — — —3] 
k[1] <<48|key [κ] 
k[0] | kC1] 


k[7] »- 
[m «cu [ez pes [rca Tis ce Tc] 


图 4-6” 密 钥 设 置 过 程 中 的 移 位 计算 方法 
设置 明文 通过 函数 setPlainText() 来 完成 ,setPlainText() 函数 的 具体 代码 见 程序 清 
单 4-5。 
程序 清单 4-5 


Ol void DES::setPlainText (string p) 


4.4 DES 算 法 实现 “59 、 


吧 { 

03 inti; 

04 unsigned long long c; 

05 for (i= O;i< 87i++) 

06 { 

07 c-plil; 

08 plainText- (c«« (7- i) * 8) | plainText; 
09 } 

10 ] 


设置 明文 的 处 理 过 程 和 注意 事项 与 设置 密 钥 的 处 理 过程 和 注意 事项 完全 一 样 。 
4.4.2. 生成 子 密 角 

在 DES 算法 中 需要 生成 加 密 和 解密 用 的 子 密 钥 。 子 密 钥 生成 通过 以 下 过 程 完 成 

+ 通过 置换 将 64 位 密 钥 转换 为 56 位 密 钥 。 

。 将 密 钥 左右 两 半 按 照 一 定 规则 进行 循环 左 移 。 

* 将 循环 左 移 得 到 的 密 钥 进行 压缩 置换 ,获得 48 位 的 子 密 钥 。 

在 程序 中 子 密 钥 的 生成 通过 函数 genEncKey() 来 完成 ,genEncKey() 函 数 的 代码 见 程 
序 清单 4-6。 

程序 清单 4-6 


Ol void DES::genEncKey () 


e { 

03 unsigned long long gKey; J As Bi EY 41 
04 GKey- permutations (key, keyIP, 64, 56) ; // 密 钥 初 始 置 换 
05 int i; 

06 for (i= 07i< 16;i+ +) 

στ { 

08 gKey- keyLShift (gKey, encKeyFound[i]) ; 

09 enckey [i]- pemutations (gKey, CP, 56, 48) ; // 压 缩 置换 

10 } 


u } 


程序 代码 子 密 钥 的 生成 分 为 以 下 几 步 : 第 1 步 是 通过 置换 操作 将 64 位 的 密 钥 置换 为 
56 位 的 密 钥 ,这 部 分 的 工作 由 第 4 行 代码 完成 , 即 调用 permutations() 函 数 实现 置换 。 第 2 
步 是 通过 代码 第 6 行 到 第 8 行 的 过 程 来 生成 16 个 子 密 钥 ,其 中 分 别 调用 了 循环 左 移 
keyLShift O 函数 和 置换 函数 permutationsO 。 

循环 左 移 函数 keyLShift() 的 代码 见 程序 清单 4-7。 

程序 清单 4-7 

Ol unsigned long long DES: :keyLShift (unsigned long long k, int n) 

oet 

03 unsigned long long tempKey- 0; 

04 unsigned long long L,R; // 密 钥 的 左右 两 半 
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05 I= (k&0xFFFFFFFO000000LL) > > 28; 

06 R= k&0x0000000FFFFFFF; 

07 if(n-- 0) 

08 t 

09 tenpKey- k; 

10 } 

ni if(n--1) 

12 t 

13 I= ((L&0x7FFFFFF)<< 1) | ( (>> 27) 81); 
14 R= ((R&OX7FFFFFF)«« 1) | ((R» » 27) &1) ; 
15 tempkey= (L«« 28) IR; 

16 } 

17 if(n--2) 

18 { 

19 Τε ((L&0X3FFFFFF)<< 2) | ( (L> > 26) &3); 
20 R= ((RS0x3FFFEFF)<< 2) | ((R> > 26) &3); 
21 tempKey= (L«« 28) IR; 

2 } 

23 return tempKey; 

24 } 


移 位 函数 的 返回 类 型 为 unsigned long long 型 ,函数 的 参数 分 别 为 需要 移 位 的 数据 和 循 
环 左 移 的 位 数 。 由 于 在 DES 算法 中 只 有 针对 56 位 的 数据 进行 循环 移 位 ,因此 该 函数 只 适 


合 对 56 位 的 输入 进行 操作 。 
该 函数 首先 将 输入 分 割 成 两 部 分 ,获得 L 和 有 ,以 获得 左 半 部 分 工 为 例 来 说 明 分 割 过 
程 ,其 计算 过 程 如 下 : 
k | 1011110110001110101000010100 1100011111111010000010100010 


OxFFFFFFF0000000 
k&.0xFFFFFFF0000000 
k&.0xFFFFFFF0000000>>28 


1111111111111111111111111111 
1011110110001110101000010100 
0000000000000000000000000000 


0000000000000000000000000000 
0000000000000000000000000000 
1011110110001110101000010100 


在 移 位 过 程 中 先 执行 了 k&0xFFFFFFF0000000LL, 这 是 由 于 移 位 操作 在 不 同 的 编译 
器 中 可 能 产生 不 同 的 结果 ,所 以 通过 & 运算 将 其 他 位 的 数据 置 为 0。 以 类 似 的 方法 可 以 获 
得 右 半 部 分 R。 

循环 左 移 也 是 利用 了 位 运算 的 技巧 ,下 面 以 获得 的 左 半 部 分 循环 左 移 为 例 来 说 明 。 


L | 1011110110001110101000010100 
Ox7FFFFFF 
L&.0x7FFFFFF 


(L&.0x7FFFFFF)<<1 


0111111111111111111111111111 
0011110110001110101000010100 
0111101100011101010000101000 

L»22784 
((L&.0x7FFFFFF)<<1) | (L>>278&-1) 


0000000000000000000000000001 


0111101100011101010000101001 
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L&.0x7FFFFFF 的 作用 是 将 28 位 数据 的 第 1 位 置 为 0。 然 后 再 移 位 ,这 样 可 以 确保 其 
他 数据 位 的 数据 不 变 。 其 他 部 分 的 移 位 操作 相同 。 

在 获取 密 钥 的 函数 中 还 用 到 了 permutations ( ), 该 函数 的 作用 是 实现 置换 ， 
permnutations() 函数 的 代码 见 程序 清单 4-8。 


程序 清单 4-8 


0L unsigned long long DES::permutations 


02 (unsigned long long num, const. int p[],int pmax, int n) 
0 ( 

04 unsigned long long temp- 0; 

05 inti; 

06 for(i=0;i<n;it+) 

07 t 

08 temp<<=1} //temp 左 移 一 位 

09 temp|- (num> > (pmax- p[i]))&1; 

10 } 

n return temp; 


2] 
permutations O 函数 的 实现 方法 与 S-DES 算法 中 的 permutations OO 函数 完全 一 样 。 
4.4.3 加 密 和 解密 


在 获得 子 密 钥 之 后 就 可 以 对 明文 进行 加 密 ,或 对 密 文 进行 解密 。 加 密 或 解密 的 过 程 由 
以 下 步骤 完成 

。 将 输入 的 明文 进行 一 初始 置换 。 

。 将 置换 后 的 明文 进行 分 组 ,分 成 左右 各 一 半 ,各 为 32 位 数据 。 

。 进行 16 轮 完全 相同 的 下 运算 。 

。 将 下 运算 获得 的 结果 左右 结合 ,然后 再 进行 一 个 末 置 换 得 到 密 文 。 

在 加 密 和 解密 过 程 中 ,核心 部 分 是 下 运算 ,F 运算 的 过 程 为 : 

。 将 输入 的 右 半 部 分 的 32 位 数据 进行 扩展 置换 ,得 到 48 位 数据 。 

。 将 48 位 的 数据 与 密 钥 进行 “ 异 或 "运算 。 

。 将 “ 异 或 ”运算 的 结果 进行 S 盒 运算 ,替代 为 32 位 的 数据 。 

。 将 S 盒 运算 的 结果 再 进行 一 次 置换 运算 。 

在 经 过 下 运算 后 得 到 32 位 的 输出 ,将 这 32 位 的 输出 与 左 半 部 分 进行 “ 异 或 "运算 ,得 到 
新 一 轮 的 右 半 部 分 数据 ,而 原来 的 右 半 部 分 数据 成 为 新 一 轮 运 算 的 左 半 部 分 数据 。 

加 密 程 序 通过 函数 encryption() 完 成 ,函数 encryption() 的 代码 见 程序 清单 4-9 。 


程序 清单 4-9 


OL void DES::encryption() 

2 { 

03 unsigned long long temp=pemmtations (plainText, IP, 64, 64) ; 
04 int i,j; 

05 unsigned long long L,R, tempR; 
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06 T= (tempsOxFFFFFFFFO0000000LL) > > 32; 
στ F= (temp&0x00000000FFEFFFFFLL) ; 


08 tenpR-R; 

09 for (i= 0;i« 16;i+ + ) 

10 { 

11 tempR- permutations (R, EP, 32, 48) ; 
12 tempR= tenpRenckey [i] 

B tenpR- Bores (temp) ; 

14 tempR- permutations (tampR, P, 32, 32) ; 
15 tenpR- tenpR°L; 

16 FR 

17 R- tempR; 

18 H 

19 temp- (R«« 32) IL; 


20 temp- pemutations (temp, IPI, 64, 64) ; 
21 cipherText= temp; 
2 


在 程序 清单 4-9 rp. 3 行 代码 是 实现 明文 的 初始 置换 。 第 6 行 和 第 7 行 代码 是 将 输 
入 分割 成 左右 两 部 分 ,各 为 32 位 。 第 9 行 到 第 18 行 代码 是 实现 16 轮 的 加 密 运 算 , 其 中 第 
11 行 代 码 是 实现 扩展 置换 ,第 12 行 代码 是 实现 与 子 密 钥 的 “ 异 或 ”运算 ,第 13 行 是 S 盒 运 
算 ,第 14 行 是 置换 运算 ,第 15 行 是 将 置换 的 结果 与 左 半 部 分 进行 “ 异 或 ”, 然 后 进行 左右 两 
部 分 的 交换 。 经 过 16 轮 运 算 之 后 ,第 19 行将 左右 两 部 分 合并 ,再 由 第 20 行 代码 进行 末 置 


换 , 最 后 得 到 加 密 的 密 文 。 

在 encryption O K CHIH Y SBoxes O 函数 对 输入 进行 S 盒 运算 ,该 函数 的 代码 见 程 
序 清 单 4-10。 

程序 清单 4-10 

0l unsigned long long DES: :SBoxes (unsigned long long num) 

a2 ( 

03 inti; 

04 unsigned long long temp; 

05 unsigned long long result- 0; 

06 for (i= O7i< 87i++) 

07 x 

08 temp- (nm > ((7- i) * 6)) &0x3E; 

09 int x= ((temp> > 4) &0x2) | (tempsOx1)* i* 4; 

10 int y= (temp» > 1) &OxF; 

1 ‘temp= SBox [x] [y]; 

12 temp= temp<< ((7- i) κ 4); 

B result- result | temp; 

14 } 

15 return result; 


4.4 DES 算法 实现 


S 盒 运算 函数 实现 的 将 输入 的 48 位 数据 每 次 读 取 6 位 ,然后 将 其 他 位 数 置 为 0。 代码 
行 的 第 8 行 实现 了 这 一 功能 。 第 9 行 和 第 10 行 是 获取 S 盒 的 行列 值 , 行 是 通过 获得 第 1 位 
和 第 6 位 的 数据 来 实现 ,其 中 ix*4 是 用 来 确定 读 取 的 是 第 几 个 S 盒 ,每 个 S 盒 占 4 行 数据 。 
因为 输入 6 位 ,输出 4 位 ,因此 输入 48 位 输出 32 位 ,所 以 在 将 得 到 的 输出 移 到 原来 位 置 时 
按 比例 减少 位 数 ,第 12 行 实现 这 一 功能 。 然 后 与 应 该 输出 的 数据 进行 “或 ”运算 ,得 到 相应 
的 输出 。 经 过 8 轮 运算 后 得 到 5 盒 运算 结果 。 

解密 过 程 通过 decryption O 函数 来 实现 ,decryption() 的 代码 见 程序 清单 4-11。 


程序 清单 4-11 


Ol void DES: :decryption() 

a { 

03 unsigned long long temp- permutations (cipherText, IP, 64, 64) ; 
04 inti,j; 

05 unsigned long long L,R, tem; 

06 Iz (temp&OxFFFFFFFFÜO000000LL) > > 32; 

07 R= (temp&0x00000000FFFFFFFELL) ; 

08 ‘tempR= R; 

09 for (i= O;i< 16;i+ +) 

10 { 


11 tempR= permutations (R, EP, 32, 48) ; 
12 tempR= tenpR*encKey[15- i]; 

13 teng= SBoxes (tempR) ; 

14 tempR= permutations (tempr, P, 32, 32) ; 
15 tempR= tenpR^L; 

16 I-R; 

17 R= tem; 

18 } 

19 temp- (R<< 32) IL; 

20 temp= permutations (temp, IPI, 64, 64) ; 
21 decipherText- temp; 

2) 


解密 函数 与 加 密 函 数 的 实现 方法 基本 相同 ,不 同 的 地 方 在 于 密 钥 使 用 的 顺序 正好 与 加 
密 过 程 相反 。 具 体 各 部 分 实现 的 功能 可 以 参考 加 密 函 数 。 

在 DES 类 中 还 有 一 个 函数 showBinary() ,这 个 函数 可 以 用 来 检查 数据 的 二 进 制 显 示 ， 
在 程序 中 使 用 了 vector 来 临时 存储 数据 ,具体 代码 见 程 序 清单 4-12。 


程序 清单 4-12 


Ol void DES: :showBinary (unsigned long long num) 
a { 
vector< int> v; 


R&R 8 


v.push back (num&2) ; 


63. 


,64/ 8458 DES 算 法 


07 
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num- (num num&2) /2; 
while (num!= 0) ; 
for (int i= (v.size()- 1);i» -0;i--) 
{ 
cout«« v[i]; 
} 
cout«« endl; 


若 在 程序 中 需要 检查 数据 的 二 进 制 显 示 形 式 , 可 以 直接 调用 该 函数 。 将 数据 转换 为 二 
进 制 的 过 程 由 代码 第 4 行 到 第 8 行 实现 ,通过 判断 数据 的 奇偶 性 来 确定 存储 到 向 量 的 值 , 如 
果 是 奇数 , 则 往 向 量 中 存储 “1”, 如 果 是 偶数 , 则 往 向 量 中 存储 “0”, 直 到 数据 处 理 完毕 。 最 后 
通过 第 9 行 到 第 12 行 的 代码 将 二 进 制 数据 输出 。 

本 程序 的 主要 目的 是 解决 DES 算法 的 基本 原理 的 实现 过 程 ,因此 在 主 程序 中 进行 加 密 
解密 的 过 程 需 注意 先后 顺序 ,通常 过 程 为 : 

。 设置 密 钥 ; 


设置 明文 ; 
计算 子 密 钥 ; 


° 加 密 ; 

。 解密 。 

例如 ,可 以 通过 程序 清单 4-13 实现 此 过 程 。 
程序 清单 4-13 


OL int main() 


0e { 


n) 


des; 
des.setKey("!2bode« ^ "); 
des.setPlainText ("ABSSEFGH") ; 
des .genEnckey () ; 
des.encryption() ; 
des.decryption() ; 
des.showResult () 7 

retum 0; 


程序 运行 结果 如 下 : 


Κεν-τΖροάος” 
jplainText -ABsSEFGH 
ipherText=#{45>+@ 


llec ipherText -RBsSEFGH 
主 函 数 中 使 用 了 DES 类 中 的 showResult O FRAG. showResult O PR BAY fE HJ J πὶ zs E 
个 加 密 和 解密 的 计算 结果 ,该 函数 的 详细 代码 见 程序 清单 4-14。 
程序 清单 4-14 


Ol void DES::showResult () 


4.5 DES 算法 的 变种 


吧 { 

03 int i; 

04 cout<< "key= "7 

05 for (i= O;i< 8;i++) 

06 { 

07 cout«« (char) ((key» > (7- i) * 8) &0xFF); 

08 } 

09 cout«« endl; 

10 cout<< "plainText- "7 

1l for(i-0;i«8;it*) 

12 { 

13 cout<< (char) ( (plainText> > (7- i) * 8) &OxFF) ; 
14 

15 cout<< endl; 

16 cout<< "cipherText- "7 

17 for (i= 0;i«8;i* +) 

18 

19 cout<< (char) ((cipherText> > (7- i) κ 8) &0xFF) ; 
20 

21 cout<< endl; 

22 cout«« "decipherText="; 

23 for (i= 0;i« 8;i+ +) 

24 

25 cout<< (char) ((decipherText> > (7- i) κ 8)&OxFF); 
26 

27 cout<< endl; 

28 } 


showResult() 函 数 的 作用 仅 为 输出 计算 结果 ,在 显示 结果 的 过 程 中 ,需要 将 unsigned 
long long 型 数据 转换 为 char 型 数据 ,转换 的 方法 是 从 高 位 开始 ,每 次 读 取 8 位 数据 ,然后 向 
右 移 位 ,将 该 8 位 数据 置 于 低位 ,再 与 0xFF 进行 “& "运算 ,最 后 ,强制 转化 为 char 型 数据 并 
输出 。 输 入 的 密 钥 .明文 ,以 及 加 密 后 的 结果 和 解密 后 的 结果 均 采用 同样 的 方法 处 理 。 该 处 
理 过 程 也 可 以 写成 一 个 单独 的 函数 ,函数 的 参数 是 unsigned long long 型 数据 ,函数 的 作用 
是 将 参数 转化 为 char 型 数据 并 输出 。 


4.5| DES 算法 的 变种 


DES 算法 的 安全 性 极 大 依赖 于 密 钥 的 长 度 和 S 盒 的 设计 ,由 于 DES 算法 的 密 钥 本 质 
上 是 56 位 的 密 钥 , 密 钥 长 度 相 对 较 短 。 由 于 计算 机 的 运算 速度 自 DES 算法 应 用 以 来 有 了 
极 大 的 提高 ,同时 对 DES 算法 的 破解 研究 也 有 所 发 展 ,DES 算法 的 安全 性 受到 了 很 大 的 挑 
战 。 因 此 ,为 保证 数据 的 安全 性 ,对 DES 算法 进行 了 多 种 改进 。 这 些 改进 包括 多 重 DES, th 
立 子 密 钥 的 DES、 更 换 S 盒 的 DES 等 。 
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4.5.1 三 重 DES 算法 


三 重 DES 算 法 是 DES 算 法 的 变种 中 最 重要 的 一 种 ,三 重 DES 算法 的 基本 原理 如 图 4-7 
所 示 。 
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图 4-7 三 重 DES 加 密 原理 图 


三 重 DES 算法 也 分 成 两 种 ,一 种 是 双 密 钥 加 密 模式 ,一 种 是 三 密 钥 的 加 密 模式 OU] 
的 加 密 模式 可 以 表示 为 
C= En (De En (P))), 
P = Dy (Ex (Dn (P))). 
双 密 钥 加 密 模式 的 第 1 个 密 钥 和 第 3 个 密 钥 是 相同 的 ,加 密 过 程 是 : 首先 使 用 第 1 个 
密 钥 进行 加 密 , 然 后 使 用 第 2 个 密 钥 进行 解密 ,最 后 使 用 第 1 个 密 钥 进行 加 密 。 解 密 过 程 
是 : 首先 使 用 第 1 个 密 钥 进行 解密 ,然后 使 用 第 2 个 密 钥 进行 加 密 , 最 后 使 用 第 1 个 密 钥 进 
行 解密 。 
使 用 三 密 钥 的 加 密 模式 可 以 表示 为 
C = E45 CD44CEí CP). 
P = Da GS Ga (P))). 
三 密 钥 加 密 模式 的 三 个 密 钥 都 不 相同 ,加 密 过 程 是 : 首先 使 用 第 1 个 密 钥 进行 加 密 , 然 
后 使 用 第 2 个 密 钥 进行 解密 ,最 后 使 用 第 3 个 密 钥 进行 加 密 。 解 密 过 程 是 : 首先 使 用 第 3 
个 密 钥 进 行 解密 ,然后 使 用 第 2 个 密 钥 进 行 加 密 , 最 后 使 用 第 1 个 密 钥 进行 解密 。 解 密 过 程 
密 钥 的 使 用 顺序 正好 与 加 密 过 程 的 密 钥 使 用 顺序 相反 。 


4.5.2 ”独立 子 密 钥 的 DES 算法 


除了 多 重 DES 算法 外 ,还 有 一 种 变种 的 DES 算法 ,这 种 算法 在 每 一 轮 的 DES 加 密 过 
程 中 均 采用 了 不 同 的 密 钥 ,这 样 使 得 密 钥 的 长 度 为 768 位 ,采用 这 种 算法 对 穷 举 攻击 能 够 有 
效 预防 , 极 大 增强 了 穷 举 攻击 的 难度 。 但 独立 子 密 钥 的 加 密 方 法 对 选择 明文 攻击 几乎 没有 
效果 ,不 能 使 DES 算法 变 得 更 加 安全 。 

三 重 密 钥 的 DES 算法 和 独立 子 密 钥 的 DES 算法 的 程序 实现 方法 与 DES 算法 的 实现 
方法 基本 相同 。 


4.6 习题 与 实践 题 


4.6.1 习题 


1. 请 简要 说 明 DES 算法 的 解密 和 解密 的 基本 过 程 。 
2. 请 简要 说 明 DES 算法 中 扩展 置换 的 基本 原理 ,并 绘 出 扩展 置换 过 程 的 示意 图 。 


(4-1) 


(4-2) 


4.6 习题 与 实践 题 6). 


3. 试 说 明 DES 算法 中 S 盒 运算 的 基本 方法 ,并 给 出 示例 说 明 S 盒 的 工作 原理 。 

4. =E DES 算法 的 基本 工作 模式 有 哪 几 种 ? 并 说 明 各 三 重 DES 算 法 的 加 密 、 解 密 过 
程 ,同时 用 计算 方法 说 明 。 

5. 试 比较 DES 算 法 和 三 重 DES 算法 的 安全 性 ,并 说 明 具 体 原因 。 


4.6.2 实践 题 


1. 参考 4.4 节 中 给 出 的 DES 算法 的 实现 方法 ,实现 三 重 DES 加 密 算 法 ,使 用 的 加 密 和 
C= En (Dg (Ea (P))), 
P = Da (Ex (Da C), 
待 加 密 和 解密 的 消息 为 64 位 (可 以 使 用 8 ΕΠ) , 试 完成 该 算法 。 
2. 参考 4.4 节 中 给 出 的 DES 算法 的 实现 方法 ,实现 三 重 DES 加 密 算法 ,使 用 的 加 密 和 
解密 算法 为 
C = Eg (Dg (Ea (P))), 
P = Da (Er (Da (P))). 
待 加 密 和 解密 的 消息 为 64 位 (可 以 使 用 8 个 字符 ) , 试 完成 该 算法 。 
QE: 可 以 选择 一 题 作为 实践 练习 。) 
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AES( Advanced Encryption Standard) 高 级 数据 加 密 标准 是 美国 国家 标准 技术 局 于 
2001 年 公布 的 新 的 加 密 标 准 , 其 目的 是 逐步 取代 DES 算法 ,是 目前 被 广泛 使 用 的 标准 。 在 
密码 学 中 又 称 为 Rijndael 加 密 法 ,该 算法 为 比利时 密码 学 家 Joan Daemen 和 Vincent 
Rijmen 所 设计 ,结合 两 位 作者 的 名 字 , 以 Rijndael 为 名 投稿 高 级 加 密 标准 的 甄选 流程 ,因此 
该 算法 又 被 称 为 Rijndael 加 密 法 。 


5.1| 置换 -组 合 结构 


DES 加 密 算 法 使 用 的 是 Feistel 密码 结构 ,AES 算法 则 采用 了 一 种 新 型 的 密码 结构 ,这 
个 结构 称 为 置换 -组 合 ( 代 换 ) 结构 (substitution- 明文 m 
permutation network). 。 置 换 - 组 合 结构 主要 用 在 分 组 
加 密 中 ,在 加 密 过 程 中 进行 一 系列 置换 和 组 合 操作 。 置 
换 -组 合 结构 的 加 密 基 本 原理 见 图 5-1。 

置换 -组 合 结构 加 密 的 基本 输入 是 明文 和 密 钥 , 然 

后 经 过 数 轮 S 盒 运算 和 P 盒 运 算得 到 最 终 密 文 。S & 
和 P 盒 的 运算 是 按 位 进行 运算 的 ,这 样 在 实现 过 程 中 将 — a: 
有 和 较 高 的 运算 速度 。 密 钥 与 输入 进行 的 是 按 位 * 异 或 "， alee T: 
同样 具有 很 高 的 运算 速度 。 — 

在 加 密 过 程 中 使 用 的 密 钥 又 称 为 轮 密 钥 , 轮 密 钥 一 
般 由 输入 密 钥 派生 出 来 。 在 有 些 设计 中 将 S 盒 与 轮 密 
钥 关联 , 即 S 盒 依赖 于 轮 密 钥 。 

置换 -组 合 结构 的 解密 过 程 是 加 密 过 程 的 逆 过 程 ， 
即 S 盒 .P 盒 和 轮 密 钥 的 使 用 顺序 与 加 密 过 程 正 好 
相反 。 

S 盒 的 运算 方法 是 : 将 输入 分 为 与 S 盒 数目 相同 的 
若干 组 ,每 组 与 每 个 相应 的 S 盒 对 应 以 确保 S 8 {9 np ax 
性 。S 盒 的 输入 和 输出 长 度 相同 ( 与 DES 算法 不 同 ,DES 算法 是 6 位 输入 ,4 位 输出 ) ,通常 
S 盒 的 输入 和 输出 都 是 4 位 。S 盒 的 运算 是 非 线性 运算 。 

盒 运 算是 针对 S 盒 所 有 的 输出 进行 的 ,将 从 S 盒 得 到 的 输入 经 过 了 盒 的 置换 或 组 合 


图 5-1 惫 换 -组 合 基本 结构 


` 


5.2 AES 算法 原理 4 


操作 ,然后 输出 到 下 一 轮 S 盒 运 算 。 理 想 的 P 盒 是 尽 可 能 置换 输入 数据 的 每 一 位 。 
轮 密 钥 运 算 则 是 进行 简单 的 “ 异 或 ”运算 。 


5.2! AES 算法 原理 


AES 算 法 的 输入 和 输出 是 128 位 数据 , 密 钥 长 度 可 以 是 128 位 、192 位 或 256 位 。 从 严 
格 意义 上 来 说 ,AES 算法 不 是 完全 的 Rijndael 加 密 法 .Rijndael 加 密 法 的 密 钥 和 分 组 长 度 是 
32 位 的 整数 倍 ,以 128 位 为 下 限 ,256 位 为 上 限 。AES 密 钥 的 生成 方案 是 由 Rijndael 8 44 
生成 方案 提供 。 

AES 算法 具有 以 下 特点 : 

CD 对 所 有 已 知 的 攻击 具有 免疫 性 。 

(2) 在 各 种 平台 上 ,具有 代码 紧凑 、 运 行 速度 快 的 优点 。 

(3) 设计 简单 。 

AES 算法 的 基本 流程 见 图 5-2。 


(a) 加 密 
图 5-2 AES 算 法 加 密 解 密 过 程 示意 图 
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图 5-2(a) 为 加 密 过 程 ,图 5-2(b) 为 解密 过 程 。 解 密 过 程 是 加 密 过 程 的 逆 过 程 。 
在 AES 算法 中 加 密 的 轮 数 是 根据 密 钥 长 度 和 分 组 明文 的 长 度 来 决定 的 。 假 设 N, 表示 数 
据 分 组 长 度 /32,N 表示 密 钥 分 组 长 度 /32, N, 表示 轮 数 ,那么 三 者 之 间 的 关系 见 表 5-1。 


R51 轮 数 、 密 钥 长 度 和 明文 分 组 长 度 关系 


N, N, =4 N,=8 N,=8 
N,—4 10 12 14 
N.—6 12 12 14 

, 1 


14 


N =8 14 1 


在 AES 算法 中 所 有 的 运算 都 是 针对 字 节 的 ,因此 可 以 将 数据 分 组 表示 成 以 字 节 为 单位 
的 数组 。 加 密 过 程 是 在 一 个 4X4 字 节 的 矩阵 上 进行 运算 的 ,这 个 矩阵 称 为 “state”( 状 态 矩 
阵 ) ,其 初 值 就 是 一 个 明文 的 分 组 。 

AES 算法 中 的 每 一 轮 加 密 包 含 4 个 主要 的 步骤 : 轮 密 钥 加 、 字 节 代 换 , 行 移 位 和 列 混 
活 。 各 部 分 的 功能 和 算法 如 下 。 

(1) 轮 密 钥 加 一 一 将 输入 状态 矩阵 与 轮 密 钥 矩阵 进行 “ 异 或 "(外 ) 运 算 , 轮 密 钥 由 密 钥 
通过 相应 变换 获得 。 轮 密 钥 加 运算 的 基本 原理 见 图 5-3。 


πα 
πα 
ele 


图 5-3 轮 密 钥 加 基本 原理 


解密 过 程 的 轮 密 钥 加 与 加 密 过 程 的 轮 密 钥 加 过 程 相同 。 
(2) 字 节 代 换 一 一 将 输入 的 状态 矩阵 与 S 盒 代 换 表 进 行 的 非 线性 变换 ,其 变换 的 基本 
原理 见 图 5-4。 


四 四 四 四 
prag 


画 四 区 四 


AES 算法 中 的 S 盒 代 换 表 是 一 个 16X16 的 矩阵 , 它 的 构造 方法 如 下 : 
CD 逐 行 按 升 序 排序 的 字 节 值 初 始 化 S 盒 。 第 1 行 的 值 是 {00,01,02,…,OF} ,第 2 行 
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的 值 是 {10,11,12,…,1F) ,以 此 类 推 ,在 第 工行 和 第 y 列 的 值 是 {xy)。 
(2) 把 S 盒 中 的 每 个 字 节 映射 为 它 在 有 限 域 GF(2) 中 的 道 ,{00} 被 映射 为 自身 {00})。 
(3) 把 S 盒 的 每 个 字 节 记 成 (0; «δὲ ,bs sba sba bs sbi obo) ,对 S 盒 中 的 每 个 字 节 的 每 位 做 
如 下 变换 : 
b= b; CO barcos D Do+symoas CO Detoymoa 8 D bctnmoas Devs i= 0.1.7.7. (5-1) 
在 式 (5-1) 中 ,ci 是 指 c 的 第 i 位 ,c 的 值 为 0x63, 即 (crcscsctcsczcico) 一 (01100011) 。 
式 (5-1) 的 计算 过 程 也 可 以 用 如 下 方式 描述 : 


bo 1000 11 1 17/4 1 
bi 11000 1 1 1| 1 
b, 1110001 1| 0 
b, » 1ν 3. 4 ο 6 LIS; 0 
ML + (5-2) 
b, 1 1 1 1 1 0 0 Ole 0 
b. ο 1.1. 1 T Ὁ Ο.Φ. 1 
[A 0 0 I 1 2 1 Y one 1 
[A 0 0 O0 LT I Y 12, 0 


在 具体 的 使 用 过 程 中 可 以 使 用 计算 得 到 的 5.5 盒 代 换 表 的 具体 取 值 见 表 5-2, 
X52 SARR 
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SW x #l y 的 取 值 分 别 对 应 输入 的 高 4 位 和 低 4 位 。 

例如 : 假设 a2,; 二 AB, 那 么 工 取 输入 as.: 的 高 4 位 ,得 zx 二 A,y 取 输 入 az,: 的 低 4 位 ,得 
y=B, ΧΙ S 盒 得 到 的 输出 为 62。 

在 解密 过 程 中 包含 了 字 节 代 换 求 逆 的 过 程 , 在 字 节 代 换 求 着 的 过 程 中 使 用 了 逆 S d , 
S 盒 的 计算 过 程 利用 了 式 (5-2) 的 逆 变 换 , 该 道 变换 是 由 GF(2*) 上 的 逆 变 换 得 到 的 。 该 逆 


b= Deitymods CD botymos CD baurnmos Θά, i= 0,1,7 (5-3) 
其 中 d= 二 {05} 或 00000101。 式 (5-3) 的 计算 过 程 也 可 以 用 如 下 方式 来 描述 : 
bs 0 0100 1 0 1jq[^ 
b, 100100 1 ο] ὃν 0 
b, 0 10 0 1 0 0 1| 1 
b, 1010010 ού 0 
x lo 10 10 0 1 olla |o SUM 
b. 00 10 10 0 Tii 0 
b, 100 10 1 0 Offa 0 
b, 0100 10 1 Oda, 0 


通过 式 (5-4) 计 算得 到 的 逆 S 盒 置换 表 见 表 5-3, 
表 5-3 逆 S 盒 代 换 


aAlwl|>lolalralala 


" "mc 
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W SAW x #l y 的 取 值 也 是 分 别 对 应 输入 的 高 4 位 和 低 4 位 。 
(4) 行 移 位 变换 一 一 行 移 位 变换 是 对 输入 的 状态 矩阵 进行 变换 。 
行 移 位 变换 的 基本 过 程 是 : 状态 矩阵 的 第 1 行 保持 不 变 , 第 2 行 循环 左 移 1 个 字 节 ,第 
3 行 循 环 左 移 2 个 字 节 ,第 4 行 循环 左 移 3 个 字 节 。 行 移 位 变换 的 基本 过 程 如 图 5-5 所 示 。 


πεο[κ]κ]κ]Ξ} 

循环 左 移 1 σσ 

ο ο nona nas 
循环 左 移 340-748 [eso] asa asa] asa 

(a) 


sen [===] 
循环 左 移 1 个 字 节 | EC | 6 | 4C | 90 | 行 移 位 变换 
循环 左 移 2 个 字 节 


循环 左 移 3 个 字 节 [sc [ne | 91 [a3] 


(b) 
图 5-5 行 移 位 变换 示意 图 


行 移 位 变换 


国 国 加 加 
Fe [> 
gadog 
poga 


图 5-5 中 的 (a) 图 为 行 移 位 变换 的 基本 原理 .(b) 图 为 行 移 位 变换 的 示例 。 

解密 过 程 的 行 移 位 变换 求 逆 , 与 加 密 过 程 的 行 移 位 变换 过 程 正好 相反 ,第 1 行 也 是 不 进 
行 变换 ,第 2 行 循环 右 移 1 个 字 节 ,第 3 行 循环 右 移 2 个 字 节 ,第 4 行 循环 右 移 3 个 字 节 。 

行 移 位 变换 求 逆 的 过 程 如 图 5-6 所 示 。 
ο σπσσα 
οσα 
循环 右 移 2 个 字 节 
TRA 3 MEH |o [asa [ana fass] 


E 5-6 行 移 位 变换 求 逆 示意 图 


行 移 位 变换 


O) 列 混淆 变换 一 一 是 输入 状态 矩阵 每 一 列 的 4 个 字 节 通过 线性 变换 互相 结合 , 列 混 
活 的 基本 原理 见 图 5-7。 


四 四 区 四 


四 加 四 加 


oosa 回回 四 
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图 5-7 列 混淆 过 程 示意 图 


在 运算 过 程 中 ,每 一 列 的 4 个 元 素 分 别 当 做 να. αἱ 和 α’ AR. SIMA GRO) mig 
一 个 多 项 式 , 将 此 多 项 式 和 一 个 固定 的 多 项 式 eC = 3a? +2? 十 zx 十 2 在 模 x! 十 1 下 相 乘 ,这 
个 运算 过 程 可 以 表示 为 


E 
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Doo bo bz Dos 02 
bio ba biz bs| | 01 
bzo bza b22 pos 01 
bzo bs by; bs,s 03 


03 
02 
01 
01 


01 
03 
02 
01 


01 
01 
03 
02 


43,0 43,1 


(5-5) 


Gs 43,3 


乘积 矩阵 中 的 每 个 元 素 均 是 一 行 和 一 列 中 对 应 元 素 的 乘积 之 和 ,乘法 和 加 法 都 是 定义 
在 GF(2) 上 的 。 状 态 矩 阵 的 第 7 列 的 列 混 清 变 换 可 以 表示 为 
(2° ao,;) Θ Be aij) Qa; Qa;; 


运算 为 


5.3 


bij 


a, (2 + 
oj Qa, 


eq. 


a,j) eG. 41.) Θ ds,j 


αν) @ (3 * a) 


(3° aoj) Qa; Q aj e (2. 43,5) 
TE AE 18 11 Be E H Y Pili OR 3. T SIE HS AG at 1 PAE fe 86 pl pe ri 5 


boo ba Db bo,s 0E 
bio bia biz bis _ | 09 
bzo Di bas bzs oD 
bo baa baz bs,s 0B 
OE OB OD 097/02 
09 OE OB ο] οι 
oD 09 OE OB] 01 
0B OD 09 ο 1103 
AES 密 钥 生成 


0B OD 097] 40.0 aon 
OE OB OD|| a, aa 
09 OE OB]||azo azı 
OD 09 OES aso asa 
03 01 οἱ 1 ο 
02 03 οἱ 0 1 
ol 02 03] |o ο 
01 01 02 0 0 


ου O 5 


(5-6) 


Go do,3 
a, a 
1,2 1,3 (5-7) 
2,2 238 
a32 3,3 
0 
0 
(5-8) 
0 
1 


AES 密 钥 生成 的 方法 采用 的 是 Rijndael 密 钥 生成 方法 ,通过 密 钥 扩展 来 生成 每 轮 运算 
所 需要 的 子 密 钥 。 以 密 钥 长 度 为 128 位 为 例 ,AES 密 钥 扩展 算法 的 输入 值 是 4 字 (16 字 节 ， 
一 字 为 4 个 字 节 ) 密 钥 , 通 过 密 钥 扩 展 输出 一 个 44 字 (156 字 节 ) 的 一 维 线性 数组 ,为 初始 轮 
密 钥 加 和 算法 中 的 其 他 10 轮 运算 提供 每 轮 4 字 (16 字 节 ) 的 子 密 钥 , 密 钥 扩 展 的 过 程 可 以 
通过 程序 清单 5-1 的 伪 码 来 描述 。 


程序 清单 5-1 
Ol KeyExpansion (byte key[4* Nk], word w[Nb* (Nr+1)], Nk) 
02 begin 
03 word temp 
04 i=0 
05 while (i< Nk) 
06 w[i]-word(key[4 * i], key[4* 111], key[4* i+ 2], key[4* it 3]) 
07 i=i+1 
08 end while 
09 i=Nk 


5.3 AES 密 钥 生成 
10 while(i<Nb* (Nr+1)) 
1 τεπρ- w[i- 1]; 
2 if (i mod Nk- 0) 
B temp- Subord (RotWord (temp) ) xor Roon[i/Nk] 
14 else if (No 6 and i mod Nk= 4) 
15 temp- SubWord (temp) 
16 endif 
17 w[i]=w[i- Nk] xor temp 
18 i=i+1 
19 end while 
20 end 


例如 ,如 果 密 钥 长 度 为 128 位 ,那么 Ny 为 128/32 王 4。 如 果 明 文 分 组 长 度 为 128 位 , 那 
Z N,=128/32=4. ÑK 5-1 可 以 得 到 N,=10. 
在 程序 清单 5-1 中 还 包括 了 SubWord,RotWord 和 Reon 三 个 运算 ,这 三 个 运算 过 程 分 


别 是 : 
SubWord 一 一 利用 S 盒 对 输入 的 每 个 字 节 进行 字 节 代 换 ,S ix UL 5-2, 
RotWord 一 一 功能 是 使 输入 的 4 个 字 节 循环 左 移 1 个 字 节 。 即 输入 [ao ναι ,az sa], Æ 


44 [αι ,az ,aa ,ao ]ο 

Reon 一 一 轮 常量 ,将 经 过 RotWord 变换 和 Sub Word 变换 后 的 数据 与 轮 常量 Rcon[ ] 相 
“ 异 或 ”。 

轮 常量 是 一 个 字 (4 个 字 节 ) ,这 个 字 的 右边 3 个 字 节 总 为 0。 因 此 与 Reon 中 的 一 个 字 
相 异 或 ,其 结果 只 是 与 该 字 最 左边 的 那个 字 节 相 异 或 ,通常 轮 常量 只 用 其 最 左边 的 一 个 字 
+ ,Rcon[j]=(RC[j],0,0,0). RC[1]=1,RC[j]=2 * RC[j 一 1], 且 乘法 定义 在 域 GF(2:) 
上 。 以 16 进 制 表示 的 RC[jj 的 值 为 


j 1 2 3 4 5 6 7 8 9 10 


RC[j] 01 02 04 08 10 20 40 80 1B 36 


示例 5-1 假设 Νι 1 S8 ANY 128 位 密 钥 如 下 : 
密 钥 二 2b 7e 15 16 28 ae d2 a6 ab [7 15 88 09 cf 4f 3c 
试 计算 密 钥 扩展 。 
解 输入 的 密 钥 为 128 位 ,因此 N,—4. N,—10. 
第 1 轮 的 密 钥 为 输入 密 钥 ,有 
w0=2b7e1516, wl=28aed2a6, w3=abf71588, w4 一 09cf4f3c 
其 余 轮 密 钥 计算 结果 如 下 : 


Ç w[i]= temp 
i RotWord SubWord 与 Reon 
t τα. Bs R. i/Nk = i-Nk XOR 
(de | m δει. πηρα | VENI 
wLi-Nk] 
4 O9cfAf3c cf4£3c09 8a84eb01 01000000 8b84eb01 2b7e1516 aOfafel7 
5 aOfafel7 28aed2a6 88542cb1 
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续 表 
i RotWord | SubWord 与 Reon w[i]— temp 
deo| "7? Ίβηρες 异 或 之 后 | VENJI | XOR 
wLi-Nk] 
6 88542cbl abí71588 28433939 
7 23a33939 09cf4f3c 2a6c7605 
8 2a6c7605 6c76052a 50386be5 02000000 52386be5 a0fafel7 12c29512 
9 | f2c295f2 88542cbl | 7a96b943 
10 | 7a96b943 23433939 | 5935807a 
il 5935807a 2a6c7605 7359f67f 


12 7359f67f 59f67(73 cd42d28f 04000000 cí42d28f 12c29512 3d80477d 


13 3d80477d 7a96b943 AT716fe3e 
14 A716fe3e 5935807a 1e237e44 
15 1e237e44 7359f67f 6d7a883b 


16 6d7a883b 7a883b6d dac4e23c 08000000 d2c4e23c 3d80477d ef44a541 


17 ef44a541 4716fe3e a8525b7f 
18 a8525b7f 1e237e44 b671253b 
19 b671253b 6d7a883b db0bad00 


20 dbObad00 Obad00db 2b9563b9 10000000 3b9563b9 ef44a541 d4d1c6f8 


21 d4dlc6f8 a8525b7f 7c839d87 
22 7c839d87 b671253b caf2b8bc 
23 caf2b8be db0bad00 11f915be 


24 11f915be f915bcll 99596582 20000000 b9596582 d4dlc6f8 6d88a37a 


25 6d88a37a 7c839d87 110b3efd 
26 110b3efd caf2b8bc dbf98641 
27 dbf98641 11f915bc ca0093fd 


28 ca0093fd 0093fdca 63dc5474 40000000 23dc5474 6d88a37a 4e54f70e 


29 4e54f70e 110b3efd 5f5fc9f3 
30 5f5fc9f3 dbf98641 84a64fb2 
31 84a64fb2 ca0093fd 4ea6dc4f 


32 4ea6dc4f a6dc4f4e 2486842f 80000000 a486842f 4e54f70e ead27321 


33 ead27321 5f5fc9f3 b58dbad2 


34 b58dbad2 84a64fb2 312bf560 


35 312bf560 4ea6dc4f 7f8d292f 


5.4 AES 算法 实现 


BER 

š w[i]=temp 

w[i-Nk] 
36 7f8d292f 8d292f7f 5da515d2 1b000000 46a515d2 ead27321 ac7766f3 
37 ac7766f3 b58dbad2 19fadc21 
38 19fadc21 312bf560 28d12941 
39 28d12941 7f8d292f 575c006e 
40 575c006e 5c006e57 4a639f5b 36000000 7c639f5b ac7766f3 d014f9a8 
41 d014f9a8 19fadc21 c9ee2589 
42 c9ee2589 28d12941 el3f0cc8 
43 e13f0cc8 575c006e b6630ca6 


192 位 密 钥 的 轮 密 钥 生成 方法 .256 位 密 钥 的 轮 密 钥 生成 方法 与 128 位 的 轮 密 钥 生 成 方 
法 相同 。 


5.4 AES 算法 实现 


AES 算法 的 实现 主要 包括 四 部 分 : 数据 初始 化 、 密 钥 生 成 .加 密 和 解密 。 根据 AES 加 
密 和 解密 的 特点 ,在 算法 的 实现 过 程 中 采用 了 byteCunsigned char) 型 数据 作为 主要 的 数据 
类 型 ,并 由 4 个 字 节 组 成 一 个 字 (word) ,作为 结构 体 进 行 处 理 。 

在 示例 中 AES 算法 是 针对 数据 分 组 长 度 为 4, 密 钥 分 组 长 度 为 4, 加 密 轮 数 为 10 来 设 
计 的 ,为 部 分 简化 了 的 AES 算法 ,这样 更 有 助 于 理解 AES 算法 实现 的 具体 过 程 。 算 法 实现 
的 基本 结构 如 图 5-8 所 示 。 

AES 类 中 的 各 主要 变量 的 作用 如 下 : 

cipherKey[16] 一 一 原始 加 密 密 钥 ,16 字 节 的 数组 ,每 个 字 节 8 位 , 共 128 位。 

plaintext[4] 一 一 输入 的 明文 ,4 字 组 成 的 数组 ,每 字 4 个 字 节 , 共 128 位 。 

cipherText[4] 一 一 对 输入 的 明文 进行 加 密 后 得 到 的 密 文 ,4 字 组 成 的 数组 ,每 字 4 个 字 
节 , 共 128 位 。 

deCipherText[4] 一 一 对 密 文 进行 解密 后 的 数据 ,4 字 组 成 的 数组 ,每 字 4 个 字 节 , 共 
128 位 。 

Nb、Nk 和 Nr 一 一 Nb 表示 数据 分 组 长 度 /32,Nk 表示 密 钥 分 组 长 度 /32,Nr 表示 轮 数 。 
具体 取 值 参考 表 5-1。 在 本 示例 程序 中 ,Nb 为 4,Nk 为 4,Nr 为 10。 

Reon[11] 一 一 用 于 密 钥 扩展 的 常量 。 

wordKey[44] 一 一 以 字形 式 表示 的 扩展 后 的 密 钥 , 供 各 轮 加 密 过 程 使 用 。 

Sbox[16 ][ 16]——S 盒 数据 ,数据 类 型 为 字 节 型 ,为 16X16 的 二 维 数组 。 

invSBox[ 16 ][16 ]-— -S 盒 的 逆 , 数 据 类 型 为 字 节 型 ,为 16X16 的 二 维 数组 。 用 于 解密 
过 程 。 


2. 
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word 
+ wordKeyl4| : byte 


- cipherKey[16] 

- plainText|4] 

- cipherText|4] 

- deCipherText[4] 

- Nb 

- Nk pint 

- Nr int 

- Reon[11] :word 

- wordKey[44] :word 

- SBox[16][16] : Static const byte 

- invSBox[16][16]; tatic const byte 

- mixColumnMatrix[4]|4] tatic const byte 

- invMixColumnMatrix[4][4] : static const byte 

+ AES 0 

+ setCipherKey (byte key[]) :wid 

+ setPlainText (byte plain[]) : wid 

* keyExpansion (byte key[], word w[]) i word 

+ rotWord (word w) : word 

* subWord (word w) : word 

+ wordXOR (word wl, word w2) ; word 

+ encryption (word in[], word out[], word key[]) : void 

+ process Encryption () i wid 

+ addRoundKey (word in|], int round) : void 

+ subByte (word in[]) : void 

+ shiftRows (word in[]) : void 

+ mixColumn (word in|]) : void 

+ GFMultiplyByte (byte L, byte R) : byte 

+ decryption (word in|], word οὐ], word key||) : void 

+ process Decryption () : void 

+ invShiftRows (word in|] : void. 

+ invSubByte (word in|]) 1 void 

* invMixColumn (word in[]) : void 

* initRcon () : void 

图 5-8 AES 算法 实现 的 基本 类 图 

mixColumnMatrix[L4][L4] 一 一 列 混 消 常 量 矩 阵 , 数 据 类 型 为 字 节 型 ,为 4X4 的 二 维 


数组 。 
invMixColumnMatrix[ 4 ]| 4 ] —— 9l iE fi 36 t AB E ,数据 类 型 为 字 节 型 ,为 4X4 的 二 
维 数组 。 用 于 解密 过 程 。 
详细 的 类 声明 见 程序 清单 5-2. 
程序 清单 5-2 


Ol typedef unsigned char byte; 
02 struct word 


O { 
04 byte wordkey [4]; 
05 y 
06 class AES 
07 ( 
08 public: 
09 AESQ; 
10 void setCipherKey (byte key[]); 
u void setPlainText (byte plain[]); 
12 void keyexpansion (byte key[],word w[]); 
13 word rotWord (word w) ; 
14 word subWord (word w) ; 
15 word wordXCR (word wl,word w2); 
16 // 用 于 处 理 加 密 和 解密 的 各 函数 
Uu void encryption (word in[] word out [] word key[]) ; 
18 void processEncryption () ; 
19 void addRoundKey (word in[],int round); 
20 void subByte (word 1π[1}} 
21 void shiftRows (word in[]); 
22 void mixColum (word in[]) ; 
23 byte GreMiltiplyByte (byte L,byte R); 
24 // 用 于 处 理解 密 的 各 函数 
25 void decryption (word in{],word out [] word key[]) ; 
26 void processDecryption () ; 
21 void invShiftRows (word in[]); 
28 void invSubByte (word in[]); 
29 void invMixColum (word in[]); 
30 void initRoon() ; 
at private: 
32 byte cipherKey [16]; 
33 word plainText [4]; 
34 word cipherText [4] ; 
35 word deCipherText [4]; 
36 int Nb,Nk,Nr; 
37 word Roon[11]; 
38 word wordKey [44]; 
39 static const byte SBox [16] [16]; 
40 static const byte invSBox[16] [16]; 
4l static const byte mixColumMatrix [4] [4]; 
42 static const byte invMixColumMatrix[4] [4]; 
B y 
5.4.1. 数据 初始 化 
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数据 初始 化 包括 : 明文 初始 化 ` 初 始 密 钥 初始 化 和 加 密 解 密 过 程 中 所 需 的 各 种 常量 的 
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初始 化 。 
(1) 明文 初始 化 一 一 通过 函数 void setPlainText(byte plain[]) 来 设置 明文 ,函数 参数 
为 字 节 型 数组 ,函数 的 输入 为 16 字 节 的 明文 。 函 数 的 定义 见 程序 清单 5-3。 


程序 清单 5-3 
Ol void AES: :setPlainText (byte plain[]) 
0 { 
03 int i; 
04 for (i= 0;i< 16;i+ + ) 
05 { 
06 plainText [134] .wordKey [1/4]- plain[i]; 
07 } 
08 } 


在 程序 清单 5-3 中 的 第 6 行 代码 是 将 二 维 数组 处 理 成 适合 AES FER 0 8 =Ç , ΒΛ Ας: 
阵 (Cstate) 格 式 , 若 转换 成 先行 后 列 格式 的 代码 为 


plainText [1/4] .wordKey [1$4]- plain [i]; 


由 于 plainText 的 数据 类 型 是 word 型 数据 ,word 结构 体 包 含 byte 型 数组 ,该 数组 的 大 
小 为 4, 类 型 为 byte 型 。 例 如 , 当 输 入 的 明文 是 0 一 4 字 节 时 ,那么 第 1 个 字 节 存储 到 
plainText[0 ]L0 ]. 58 2 个 字 节 存 储 到 plainTextL0J[1], 以 此 类 推 ,将 读 入 的 明文 数据 转换 为 
便于 AES 算 法 易于 处 理 的 格式 。 通 过 程序 清单 5-3 的 转换 ,输入 的 明文 转换 为 矩阵 格式 。 

(2) 初始 密 钥 初 始 化 一 一 初始 密 钥 通过 函数 void setCipherKey(byte key[]) 来 初始 化 ， 
函数 的 参数 为 字 节 型 数组 ,函数 的 输入 为 16 字 节 的 密 钥 。 函 数 的 定义 见 程序 清单 5-4。 


程序 清单 5-4 
Ol void AES::setCipherKey (byte key[]) 
a í 
03 inti; 
04 for (i= 07i< 1671+ +) 
05 { 
06 cipherkey[i]= key[i]; 
07 } 
08 keyExpansion (cipherKey, wordkey) ; 
09 ] 


程序 清单 5-4 将 密 钥 参数 获得 后 ,首先 将 输入 的 密 钥 赋 给 对 应 类 中 的 密 钥 ,这 部 分 工作 
由 代码 行 第 4 行 到 第 7 行 完 成 ,然后 通过 密 钥 扩展 函数 keyExpansion() 进 行 密 钥 扩展 , 密 
钥 扩 展 将 在 5. 4. 2 节 中 介绍 。 

(3) Reon 初始 化 一 一 Reon 数组 的 初始 化 通过 void initRcon O 函数 来 完成 ,函数 的 定义 
见 程序 清单 5-5, 

程序 清单 s 


ΟΙ void AES::initRcon() 


5.4 AES 算 法 实现 81. 


et 

03 int i,j; 

04 for (i= 07i< 11;i+ +) 

05 { 

06 for (j= 073€ 475+ +) 
07 { 

08 Foon[i].wordKey[j]- 0x0; 
09 } 

10 } 

11 Roon[1] .wordKey[0]= 0x01; 
12 Roon[2] .wordKey[0]= 0x02; 
B Roon[3] .wordkey[0]= 0x04; 
14 Roon [4] .wordKey [0]- 0x08; 
15 Roon[5] .wordKey [0]- 0x10; 
16 Roon[6] .wordKey [0] 0x20; 
17 Roon[7] .worcKey[0]= 0x40; 
18 Roon[8] .worcKey[0]= 0x80; 
19 Roon[9] .worcKey [0]- 0x1b; 
2 Roon[10] .wordKey [0]= 0x36; 
2) 


由 于 Reon 是 固定 值 ,程序 中 直接 给 出 相应 的 值 ,该 值 也 可 以 通过 GF (2° ) 域 的 乘法 函 
数 byte GFMultiplyByte(byte L,byte R) 计 算 获 得 。 
(4) 列 混淆 和 列 混淆 求 逆 常 量 的 初始 化 一 一 见 程 序 清单 5-6。 


程序 清单 5-6 

Ol const byte AES: :mixColummMatrix [4] [4]= { 

02 (0x02, 0x03, 0x01, 0x01}, 

03 (0x01, 0x02, 0x03, 0x01}, 

04 (0x01, 0x01, 0x02, 0x03}, 

05 (0x03, 0x01, 0x01, 0x02) }; 

06 const byte AES: :irvMixColumMatrix[4] [4]- ( 

07 (0x0e, 0x0b, OxOd, 0x09) , 

08 (0x09, 0x0e, OxOb, 0x0d}, 

09 (0x0d, 0x09, 0x0e, 0x0b}, 

10 10x(b, OxOd, 0x09, 0x0e) ) ; 

(5) S 盒 和 S 盒 道 的 初始 化 一 一 见 程序 清单 5-7。 
程序 清单 5-7 

// 初 始 化 SB 


Ol const byte AES: :SBox[16] [16]- { 

(0x63, OX7C, 0x77, Ox 7B, OxE2, Ox6B, Ox6F, OxC5, 0x30, 0x01, 0x67, 0X28, OxFE, OxD7, 0ΚΛΒ, 0x76}, 
{OxCA, 0x82, OxCO, Ox 7D, OxEA, 0x59, 0x47, ΟΚΕΌ, OxAD, 0xD4, OxA2, OxAE, 0x9C, 0xA4, 0x72, 0x0) , 
(0x87, OXED, 0x93, 0x26, 0x36, Ox3E, ΟΧΕ7, OxOC, 0x34, OxA5, ΟΧΕ5, OxF1, 0x71, OxD8, 0x31, 0x15}, 
(0x04, 0xC7, 0x23, 0xC3, 0x18, 0x96, 0x05, OxGR, 0x07, 0x12, 0x80, QxE2, OxEB, 0x27, 0xB2, 0x75}, 
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轮 密 钥 的 计算 通过 密 钥 扩展 函数 来 实现 ,实现 过 程 的 伪 码 已 在 程序 清单 5-1 中 给 出 , 具 
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(0x09, 0x83, 0x2C, 0x1A, Ox1B, 0.6Ε:, Ox5A, OxAO, 0x52, 0x3B, 0xD6, 0xB3, 0x29, OxE3, 0x2F, 0x84}, 
{0x53, OxDI, 0x00, OxED, 0x20, OxEC, OxB1, 0x58, 0x6A, OxCB, OxBE, 0x39, 0x4A, 0x4C, 0x58, OxCF}, 
(OxDO, OxEF, OxAA, OxFB, 0x43, 0x4D, 0x33, 0x85, 0x45, OxF9, 0x02, Ox 7E, 0x50, 0x3C, 0x9F, OxAB}, 
(0x51, 0xA3, 0x40, Ox8F, 0x92, 0x9D, 0x38, OxF5, OxBC, 0xB6, OxDA, 0x21, 0x10, OxkF, OxF3, OxD? ) , 
{OxCD, OxOC, 0x13, OxEC, Ox5F, 0x97, 0x44, 0x17, OxCA, OxA7, Ox TE, 0x3D, 0x64, 0x5D, 0x19, 0x73}, 
(0x60, 0x81, 0x4F, OxDC, 0x22, 0x2A, 0x90, 0x88, 0x46, OxEE, 0xB8, 0x14, OxDE, Οχ5Ε, 0x0B, OxDB) , 
{0xE0, 0x32, Ox3A, OxOA, 0x49, 0x06, 0x24, Ox5C, 0xC2, OxD3, OxAC, 0x62, 0x91, 0x95, ΟΧΕΑ, 0x79}, 
(0x7, 0xC8, 0x37, Ox6D, 0x8D, OxD5, Qx4E,, OxA9, OX6C, 0x56, 0xF4, OXEA, 0x65, 0x 7A, OxAE, 0x08) , 
{OxBA, 0x78, 0x25, 0x2E, Ox1C, QxA6, 0xB4, OxC6, ΟΧΕΒ, OxDD, 0x74, Ox1F, 0x4B, OxBD, 0x8B, 0x8A), 
{0x70, 0x3E, 0xB5, 0x66, 0x48, 0x03, OxF6, Ox0E, 0x61, 0x35, 0x57, 0xB9, 0x86, 0161, OXID, Ox9E)) , 
(OxEL, 0ΧΕ8, 0x98, 0x11, 0x69, ΟΧΓΘ, 0x8E, 0x94, 0x9B, 0x1E, 0x87, ΟΧΕ9, OxCE, 0x55, 0x28, OxDE}, 
{0x8C, OxA1, 0x89, OxOD, OxBF, OxE6, 0x42, 0x68, 0x41, 0x99, Ox2D, OxOF, 0xB0, 0x54, OxBB, 0x16} }; 
// 初 始 化 s ic 

const byte AES: :invSBox [16] [16]= { 

(0x52, 0x09, Ox6A, OxD5, 0x30, 0x36, 0x25, 0x38, OxBF, 0x40, 0xA3, 0x9E,, 0x81, OxF3, OxD7, OXFB) , 
(Ox IC, OxE3, 0x39, 0x82, 0x9B, Ox2F, ΟΧΕΕ, 0x87, 0x34, OXBE, 0x43, 0x44, 0xC4, OxDE, OXE9, OxCB}, 
(0x54, 0x 7B, 0x94, 0x32, 0xA6, OxC2, 0x23, 0x3D, OxEE, Ox4C, 0x95, 0x0B, 0x42, OxFA, 0xC3, Ox4E.) , 
(0x08, 0x2E, OxA1, 0x66, 0x28, 0xD9, 0x23, 0ΧΒ2, 0x 76, 0x5B, 0xA2, 0x49, Ox€D, Ox8B, OxD1, 0x25}, 
(0x 72, OxF8, OxF6, 0x64, 0x86, 0x68, 0x98, 0x16, OxD4, OxA4, Ox5C, OxCC, Ox5D, 0x65, OxB6, 0x92}, 
(0x6C, 0x70, 048, 0x50, OxFD, OxED, 0xB9, OxDA, Ox5E,, 0x15, 0x46, 0x57, OxA7, Ox8D, Ox9D, 0x84}, 
(0x90, 0xD8, OxAB, 0x00, Ox8C, OxBC, OxD3, ΟΧΟΑ, OxF7, OXEA, 0x58, 0x05, 0xB8, 0xB3, 0x45, 0x06}, 
(0x0, 0x2C, Ox1E, 0x8F, OxCA, 0x3F, OXOF', 0x02, OxC1, OxXAF, OXBD, 0x03, 0x01, 0x13, 0x8A, Ox6B) , 
{0x3A, 0x91, 0x11, 0x41, 0x4F, 0x67, OXDC, OXEA, 0x97, OxF2, OxCF, OxCE, ΟΧΕΌ, OxBA, 0xE6, 0x73}, 
(0x96, OxAC, 0x74, 0x22, 0xE7, OxAD, 0x35, 0x85, OxE2, OxF9, 0x37, OxE8, Ox1C, 0x 75, OxDE, OxGE.) , 
(0x47, ΟΧΕΊ, Ox1A, 0x71, Ox1D, 0x29, 0xC5, 0x89, Ox6F, 0xB7, 0x62, Ox0E, OxAA, 0x18, OxBE, Ox1B) , 
{OxEC, 0x56, ΟΚ3Ε:, 0x4B, OxC6, OxD2, 0x79, 0x20, 0x9A, OxDB, 0xC0, OxFE, 0x78, OxCD, Ox5A, OxF4) , 
{0x1F, OxDD, 0xA8, 0x33, 0x88, 0x07, OxC7, 0x31, OxB1, 0x12, 0x10, 0x59, 0x27, 0x80, OxEC, Ox5F) , 
{0x60, 0x51, 0x7F, OxA9, 0x19, OxB5, Ox4A, OxOD, 0x2D, OxE5, Ox 7A, Ox9F', 0x93, 0xC9, Ox9C, OXEF}, 
(0x20, OxEO, Ox3B, Ox4D, OxAE, 0x2A, OxF5, 0xBO, 0xCB, OxEB, ΟΧΒΒ, 0x3C, 0x83, 0x53, 0x99, 0x61}, 
(0x17, 0x2B, 0x04, Ox TE, OxBA, 0x77, OxD6, 0x26, OXEL, 0x69, 0x14, 0x63, 0x55, 0x21, Ox0C, Ox 7D) ) ; 


轮 密 钥 计 算 


体 的 实现 过 程 见 程序 清单 5-8。 
程序 清单 5-8 


οι 
02 
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void AES: :keyExpansion (byte key[] word w[]) 
{ 

int i=0; 

int j,k; 

word temp; 

while (i< Nk) 

{ 

for (j= 075< 475* +) 
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09 { 

10 w[i] -word&ey [3]- key[j+ 4* i]; 
nu ) 

12 irti 

B } 

14 i=Nk; 

15 while(i<Nb* (Nr+1)) 

16 { 

17 tenp-w[i- 1]; 

18 if ( (i8Nk)== 0) 

19 { 

20 temp- rotWord (temp) ; 

21 temp- subWord (temp) ; 

22 temp- wordXOR (temp, Rcon [i/Nk]) ; 
23 } 

24 else if (N> 6 && (iNk)== 4) // 处 理 其 他 可 能 的 情况 
25 { 

26 ‘temp= subord (temp) ; 

21 ) 

28 w[i]- wordXOR (w[i- Nk], temp) ; 

29 itti 

30 ) 


31 word tempState [44]; 


32 for (i= O7i< 11;i+ +) 

33 { 

A for(j=0;j< 4;* * ) 

35 t 

36 for (k= 0;k« 4;k+ +) 

3] { 

38 tempState[j+i* 4].wordKey[k]- w[k* i * 4].wordKey[j]; 
39 } 

40 } 

4 ) 

42 for (i= 0;i« 4471+ +) 

43 { 

44 floor (j= 075< 4;j++) 

45 { 

46 w[i] .wordKey [j]= tempState [i] .wordkey[3] 
41 } 

48 } 

49 } 


在 程序 清单 5-8 中 ,第 6 行 到 第 13 行 代码 为 计算 第 ο 轮 密 钥 ,第 0 轮 的 密 钥 实际 上 就 
是 输入 的 密 钥 ,对 于 本 示例 程序 ,由 于 Ni 一 4, 经 过 双 循环 之 后 ,正如 将 输入 的 16 字 节 的 数 
据 转 换 为 密 钥 使 用 的 4X4 和 矩阵 格式 。 第 15 行 到 第 30 行 代码 为 计算 第 1 轮 到 第 10 轮 的 密 
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钥 , 第 32 行 到 第 41 行 是 将 密 钥 的 处 理 方式 改 为 AES 运算 过 程 中 的 状态 矩阵 。 

在 第 1 轮 到 第 10 轮 的 密 钥 计算 过 程 中 还 用 到 了 rotWord() .subWord() 和 wordXOR() 
三 个 函数 。rotWord() 函 数 的 功能 是 实现 字 循 环 ,将 字 中 的 4 个 字 节 循环 左 移 1 个 字 节 ， 
subWord() 函 数 的 功能 是 字 节 代 换 ,利用 S 盒 将 字 中 的 每 个 字 节 进 行 代 换 , wordXOR O 8 
数 的 功能 是 实现 字 与 Rcon 的 “ 异 或 ”。 

rotWord() 函 数 的 代码 见 程 序 清单 5-9 。 


程序 清单 5-9 
Ol word AES: :rotWord (word w) 
a { 
03 inti; 
04 word temp; 
05 for(i-0;i« 4;i++) 
06 t 
07 temp.wordKey [ (i+ 3) $4]- w.wordKey [i] ; 
08 ) 
09 return temp; 
10 } 


代码 行 的 第 5 行 到 第 8 行 实现 循环 左 移 一 个 字 节 的 功能 ,输入 的 word 型 数据 包含 4 个 
字 节 ,假设 为 byte0 | | bytel | | byte2| |byte3 ,那么 ,经 过 循环 左 移 后 得 到 的 数据 为 byte3|| 
byte0 | | bytel | | byte2. 

subWordO PR 38 ff 213} AL BEF ΝΕ 5-10. 


程序 清单 5-10 
Ol word AES: :subWord (word w) 
02 { 
03 inti; 
04 byte L,R; 
05 for (i= O7i< 47i++) 
06 { 
07 L=w.wordkey[i]>> 4; // 获 取 输 入 的 高 4 位 
08 R-w.wordkey [i] £0x0F; // 获 取 输 入 的 低 4 位 
09 w.wordKey [i]= SBox[L] [R]; 
10 ) 
1l return w; 
2) 


subWord O 函数 是 通过 获得 字 节 的 高 4 位 和 低 4 位 来 作为 S 盒 数组 的 行列 位 置 ,然后 
确定 代 换 的 值 。 高 4 位 直接 通过 右 移 4 位 来 获得 , 低 4 位 与 0xOF 进行 *“&” 运 算 , 将 高 4 位 
置 为 “0" 来 获得 ,0xOF 用 二 进 制 可 表示 为 00001111 , 当 与 字 节 型 数据 进行 “& ”运算 时 ,获得 
数据 的 高 4 位 均 为 “0”, 而 低 4 位 数据 保持 不 变 。 

wordXOR() 函 数 的 代码 见 程序 清单 5-11 。 
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程序 清单 5-11 
Ol word AES: :wordXOR (word wl,word w2) 
e { 
03 int i; 
04 word temp; 
05 for (i= O7i< 471+ +) 
06 { 
07 temp.wordKey [i]- wl.wordKey[i]^w2 .wordKey [i] ; 
08 } 
09 retum temp; 
10 } 


wordXOR O 函数 通过 将 两 个 word 型 数据 中 的 每 个 字 节 进行 “ 异 或 处理, 最终 获 得 两 
个 字 的 “ 异 或 ”, 并 作为 结果 返回 。 


5.4.3 AES 加 密 过 程 的 实现 


AES 算法 的 加 密 过 程 通过 函数 void encryption( word in[ ], word out[ ], word key[ |) 
来 实现 ,函数 的 具体 代码 见 程 序 清单 5-12。 


程序 清单 5-12 
Ol void AES: :encryption (word in[],word out [], word key[]) 
0 ( 
03 int i,j,k; 
04 for (i= O;i< 4;it*) 
05 { 
06 for (j= 075< 475+ +) 
07 { 
08 out [i] wordKey [j]- in[i] .wordkey [3] 
09 } 
10 } 
1 addRoundkey (out, 0) ; 
12 for (i= 1;i< 10;i+ + ) 
B { 
14 subByte (out); 
15 shiftRows (out) ; 
16 mixColum (out); 
17 addiRoundKey (out, i); 
18 } 
19 subByte (out) ; 
20 shiftRows (out) ; 
a addRoundkKey (out, 10) ; 
2) 


在 加 密 过 程 中 ,首先 进行 一 轮 轮 密 钥 加 运算 .然后 进行 9 轮 完全 相同 的 加 密 过 程 ,包含 
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字 节 代 换 、 行 移 位 、 列 混淆 和 轮 密 钥 加 ,最 后 进行 字 节 代 换 、 行 移 位 和 轮 密 钥 加 运算 完成 整个 
加 密 过 程 ,第 4 行 到 第 10 行 代码 是 将 输入 赋 给 加 密 输 出 ,然后 通过 第 11 行 代码 进行 轮 密 钥 
加 运算 ,第 12 行 到 第 18 行 代码 进行 9 轮 完全 相同 的 加 密 运 算 ,再 通过 第 19 行 的 字 节 代 换 、 
第 20 行 的 行 移 位 和 第 21 行 的 轮 密 钥 加 运算 完成 整个 加 密 过 程 。 
在 加 密 过 程 中 用 到 了 subByte() 函 数 来 实现 字 节 代 换 功能 、shiftRows() 来 实现 行 移 位 
功能 .mixColumn() 函 数 来 实现 列 混淆 功能 .addRoundKey() 函 数 来 实现 轮 密 钥 加 功能 。 
字 节 代 换 subByte() 函 数 的 具体 实现 代码 见 程序 清单 5-13。 


程序 清单 5-13 
Ol void AES: :subByte (word in[]) 
0e { 
03 int i,j; 
04 byte L,R; 
05 for(i-0;i« 4;i++) 
06 t 
07 for(j=0;j< 475+ +) 
08 { 
09 I= in[i] .wordkey[j]>> 4; 
10 Be in[i].wordKey[j] &OxOF; 
1 in[i].wordKey[]- SBox [L] [R]; 
12 } 
13 } 
14 } 


在 加 密 过 程 中 使 用 的 字 节 代 换 与 密 钥 计算 过 程 中 使 用 的 字 节 代 换 函数 相似 ,在 加 密 过 
程 中 使 用 的 字 节 代 换 的 函数 参数 是 “ 字 ” 数 组 ,而 在 密 钥 计算 过 程 中 的 函数 参数 是 “ 字 ”。 两 
个 函数 的 高 4 位 和 低 4 位 的 取 值 方法 完全 相同 。 第 9 行 和 第 10 行 代码 分 别 获 得 S 盒 的 行 
和 列 所 在 的 位 置 , 即 输入 数据 对 应 字 节 的 高 4 位 和 低 4 位 ,第 11 行 代码 获取 S 盒 相应 位 置 
的 数据 ,并 对 应 赋 给 输入 “ 字 ” 的 相应 字 节 。 

行 移 位 shiftRows© 函数 的 具体 实现 代码 见 程序 清单 5-14。 


程序 清单 5-14 
Ol void AES::shiftRows (word in[]) 
a2 í 
08 int i,j; 
04 word temp[4]; 
05 for(i-0;i« 4;i++) 
06 t 
07 for(j=0;j< 475+ +) 
08 { 
09 temp[i] .wordkey[(j+ (4- i))%4]= in[i] wordKey[3]; 
10 } 
1 } 


12 for (i= O;i< 4;i+ +) 
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14 for(j=0;j< 4;j++) 
15 { 
16 in[i].wordKey[j]- temp[i] -wordKey[]; 


行 移 位 shiftRows O 函数 的 实现 方法 与 密 钥 生成 中 字 循 环 移 位 方法 类 似 , 但 在 加 密 过 
程 中 是 对 输入 的 矩阵 进行 行 移 位 ,每 行 移 位 的 多 少 还 不 相同 。 第 5 行 到 第 11 行 代码 实现 了 
AES 算法 中 的 移 位 要 求 , 即 : 第 1 行 不 移 位 ,第 2 行 循环 左 移 1 位 ,第 2 行 循 环 左 移 2 位 ,第 
3 行 循 环 左 移 3 位 。 例 如 , 当 i=0 时 ,G 二 (4 一 D)%4 的 作用 与 j%4 的 作用 相同 ,因此 整个 
过 程 不 移 位 , 当 i=1 时 ,十 (4 一 D)%4 的 作用 相当 于 (j 十 3)%4, 正 好 完成 循环 左 移 1 位 ， 


其 他 步骤 以 此 类 推 。 
ANEW mixColumn() 函数 的 实现 代码 见 程序 清单 5-15。 
程序 清单 5-15 
Ol void AES: :mixColum (word in[]) 
2 { 
03 word result [4]; 
04 int i,j,k; 
05 for (i= O7i< 47i++) 
06 { 
07 for (j= 07}< 4;j* * ) 
08 ( 
09 result [i] .wordKey[3]= 
10 GEMiltiplyByte (mixColumMatrix [i] [0], in[0] -wordKey(3]) ; 
11 for (k= 1;k< 4;k+ +) 
12 { 
B result [i] wordKey[j]^- 
14 GEMiltiplyByte (mixColumMatrix [i] [k], in[k] wordey(3]) ; 
15 } 
16 } 
17 } 
18 for(i=0;i< 4;i++) 
19 { 
20 for (j= 075< 475+ +) 
21 { 
22 in[i].wordKey[j]- result [i] wordKey[3] 
23 } 
24 J 
2 } 


代码 行 第 5 行 到 第 17 行 是 完成 公式 (5-5) 的 运算 ,以 完成 第 0 行 第 j 列 的 数据 来 说 明 ， 
相应 的 计算 方法 如 下 : 
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boj = (2 * ao,;) @ G + ai) Oar; Qa; 
式 中 的 计算 均 为 在 GF(2s) 有 限 域 中 的 运算 ,在 计算 过 程 中 首先 进行 第 1 项 ,这 步 运 算 通 过 
代码 行 第 9 47.25 10 行 代码 完成 ,在 计算 得 到 第 2 项 数据 之 后 ,再 计算 其 余 项 ,并 与 前 1 项 
的 结果 进行 “ 异 或 "运算 ,直到 完成 全 部 运算 。 在 列 混淆 计算 过 程 中 使 用 的 乘法 运算 和 加 法 
运算 都 是 在 GF(2*) 有 限 域 中 进行 的 运算 。 
列 混淆 函数 使 用 GF MultiplyByteQ PR Zt 3: Bü fe. GF(2*) 有 限 域 上 的 乘法 运算 ,函数 的 
具体 实现 代码 见 程序 清单 5-16. 


程序 清单 5-16 
Ol byte AES: :GEMiltiplyByte (byte L,byte R) 
a { 
03 byte temp[8]; 
04 byte result- 0x00; 
05 temp[0]- L; 
06 inti; 
07 for(i-l;ii«8;it*) 
08 { 
09 if (temp[i- 1]> = 0x80) 
10 { 
n temp[i]= (temp[i- 1]«« 1) “Oxlb; //5 00011011 R s 
2 ) 
3 else 
14 { 
15 temp[i]= temp[i- 1]«« 1; 
16 } 
17 ) 
18 for(i=0;i< 8;i++) 
19 { 
20 if (int ( (R> > i)&0x01)== 1) 
21 t 
2 result*=temp[i]; 
23 } 
24 } 
25 retum result; 
26 } 


GFMultiplyByteO 函数 实现 了 在 GFO A ËR LA AU AR is SIS MLS 9 行 到 
第 24 行 代码 实现 ,实现 的 方法 是 利用 了 GF(2s*) 有 限 域 乘法 的 特点 来 进行 的 。 在 AES 算法 
中 ,数据 均 以 byte 格式 进行 处 理 , 用 二 进 制 的 形式 可 以 表示 为 : {br ,be ,bs b. Ds obo sbi obo} s 
使 用 多 项 式 的 形式 可 以 表示 为 


7 
1(α} = bx! + bsz* |-δεαΐ + b x* bx? Hbr’? dM bx! +b, = 23 bx" 
i-o 


例如 ,(00100101) 可 以 表示 为 x 十 x? 十 1。 而 计算 zxXf(z) 则 具有 以 下 特征 : 
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(C66bsbrbsb2b1 ba0)» br =0 
mo ας. ® (0001101), δ; —1 
EC ο ο 时 ,只 需 左 移 一 位 就 可 以 得 到 计算 结果 ,当心 =1 时 (输入 字 节 大 于 等 于 
0x80) , 则 先 左 移 一 位 ,然后 与 (00011011) 进行 “ 异 或 ”运算 就 可 以 得 到 计算 结果 。 
(00011011) 用 十 六 进 制 表示 为 0x1B。 

当 f(z) 乘 以 高 于 一 次 的 多 项 式 时 , 则 可 以 重复 使 用 上 述 计算 过 程 来 完成 。 

轮 密 钥 加 addRoundKey O 函数 详细 代码 见 程序 清单 5-17。 


程序 清单 5-17 
Ol void AES: :addRoundKey (word in[],int round) 
0e { 
03 int i,j; 
04 for(i-0;i« 471+ +) 
05 { 
06 for (j= 075< 475+ +) 
07 { 
08 in[i] -wordKey[j] = wordKey[i+ 4* round] -wordKey(] ; 
09 } 
10 } 
u } 


轮 密 钥 加 函数 所 使 用 的 子 密 钥 由 具体 的 轮 数 确定 ,在 函数 中 通过 参数 round 来 传递 具 
体 使 用 哪 一 轮 的 子 密 钥 。 
5.4.4 AES 解密 过 程 的 实现 


AES 算 法 的 解密 过 程 通过 函数 void decryption( word in[ ]. word out[ ], word key[ |) 
来 实现 ,函数 的 详细 代码 见 程序 清单 5-18。 
程序 清单 5-18 


Ol void AES: :decryption (word in[],word cut[],word key[]) 


0 { 

03 int i,j,k; 

04 for (i= O7i< 47i++) 

05 { 

06 for(j=0;j< 4;j++) 
07 { 

08 out [i] -wordKey[j]= in[i] .wordkey[3] 
09 } 

10 } 

1l addRoundkey (out, 10) ; 

12 for (i= 9;i» 0;i- -) 

B { 

14 invShiftRows (out) ; 
15 invSubByte (out) ; 


16 addRoundkey (out, i); 
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17 inwMixColum (out) ; 
18 } 
19 invShi ftRows (out) ; 


20 invSubByte (out) ; 

a addRoundkey (out, 0) ; 

2) 

解密 过 程 的 子 密 钥 使 用 顺序 与 加 密 过 程 使 用 子 密 钥 的 顺序 相反 ,在 解密 过 程 中 首先 使 
用 最 后 一 轮 的 子 密 钥 进行 轮 密 钥 加 运算 ,然后 进行 9 轮 完 全 相同 的 解密 过 程 ,该 过 程 由 4 步 
组 成 ,分 别 是 : 行 移 位 求 逆 、 字 节 代 换 求 逆 、 轮 密 钥 加 和 列 混淆 求 道 。 行 移 位 求 逆 通过 函数 
invShiftRows() 来 实现 , 字 节 代 换 求 逆 通 过 函数 invSubByte() 来 实现 , 轮 密 钥 加 通过 函数 
addRoundKey() 来 实现 ,该 函数 就 是 加 密 过 程 中 的 轮 密 钥 加 函数 , 列 混淆 求 逆 通过 函数 
invMixColumn() 来 实现 。 在 完成 9 轮 相同 的 解密 过 程 之 后 ,再 分 别 进行 行 移 位 求 逆 、 字 节 
代 换 求 着 和 轮 密 钥 加 运算 ,完成 整个 解密 过 程 。 

行 移 位 求 逆 函 数 invShiftRows() 的 实现 代码 见 程序 清单 5-19, 


程序 清单 5-19 

Ol void AES: :invShiftRows (word in[]) 

a { 

03 int ij; 

04 word temp[4]; 

05 for (i= O7i< 4;i++) 

06 { 

07 for(j=0;j< 4;/* * ) 

08 t 

09 temp [i] .wordKey[ (j+ i) $4]- in[i].wordKey[3]; 

10 } 

1 } 

12 for (i= O7i< 47i++) 

13 { 

14 flor (j= 021« 4;j++) 

15 { 

16 in[i].wordKey[j]- temp[i] .wordkey[j]7 

17 } 

18 } 

19 3 

Bl AEE i R i (0) SC ΒΓΕΙ A IECUR {9 SL pl A {ΓΗ f 00] 77 EH ER SR m 

是 循环 右 移 , 列 混淆 是 循环 左 移 。 

字 节 代 换 求 逆 函 数 invSubByte() 的 实现 代码 见 程序 清单 5-20。 
程序 清单 5-20 

Ol void AES: :invSubByte (word in[]) 

2 { 


03 int i,j; 


04 byte L,R; 

05 for (i= 0;i< 4;i+ +) 

06 { 

07 for (j= 0;1ς 4;j* * ) 

08 { 

09 I= in[i] .wordKey[3j]> > 4; // 获 取 输 入 的 高 4 位 
10 Re in[i].wordKey [3] £0x0F; // 获 取 输 入 的 低 4 位 
1 in[i].wordKey[j]- invSBox[L] [R]; 

19 } 

B } 

14} 


字 节 代 换 求 逆 函数 的 实现 方法 与 字 节 代 换 的 实现 方法 相似 ,不 同 点 是 字 节 代 换 中 使 用 
T S. loe Hide S lg. 
JAE cR 3 PHA invMixColumn() 的 详细 代码 见 程序 清单 5-21 。 


程序 清单 5-21 


Ol void AES::invMixColum (word in[]) 


0 { 

03 word result [4]; 

04 int i,j,k; 

05 for (i= O;i< 4;i+ +) 

06 { 

07 for (j= 07}< 4;j* * ) 

08 t 

09 result [i] .wordKey[j]= 

10 GeMültiplyByte (invMixColummMatrix [i] [0], in[0] .wordKey[3]) ; 
11 for (k= 1;k< 4;k+ +) 

19 { 

13 result[i].wordKey[j]^- 

14 GEMiltiplyByte (invMixColumMatrix [i] [k], in[k] .wordKey [5]) ; 
15 } 

16 } 

17 } 

18 for (i= O7i< 47i++) 

19 { 

20 flor (j= 075< 4;j++) 

2 { 

2 in[i].wordKey[j]- result [i] wordKey[3] 
23 } 

24 } 

25 } 


列 混淆 求 逆 的 实现 方法 与 列 混淆 的 实现 方法 相似 ,不 同 点 是 列 混淆 使 用 了 列 混淆 矩阵 ， 
列 混淆 求 逆 使 用 了 列 混淆 求 逆 窍 阵 ,其 他 部 分 完全 相同 。 
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5.5 习题 与 实践 题 


5.5.1 习题 


l. 简要 说 明 AES 加 密 算法 有 哪些 特点 。 

2. 简要 说 明 AES 加 密 算 法 中 轮 密 钥 加 运算 过 程 的 基本 原理 ,并 给 出 示例 。 
3. 简要 说 明 AES 加 密 算 法 中 字 节 代 换 运算 过 程 的 基本 原理 ,并 给 出 示例 。 
4. 简要 说 明 AES 加 密 算法 中 行 移 位 变换 过 程 的 基本 原理 。 

5. 简要 说 明 AES 加 密 算 法 中 列 混淆 变换 过 程 的 基本 原理 。 

6. 简要 说 明 AES 加 密 算法 中 密 钥 生成 的 基本 原理 。 


5.5.2 实践 题 


参考 5. 1 节 的 AES 的 实现 方法 ,实现 从 文件 读 取 待 加 密 的 消息 ,并 将 加 密 后 的 数据 存 
储 到 文件 。 同 时 ,程序 还 可 以 从 文件 中 还 原 密 文 得 到 明文 。 所 要 处 理 的 明文 长 度 可 以 直接 
设 为 16 FW. 


IDEA 算 法 


IDEA 是 International Data Encryption Algorithm 的 缩写 , 即 国际 数据 加 密 标准 。 
IDEA 算法 是 由 瑞士 联邦 学 院 的 Xuejia Lai( 来 学 嘉 ) 和 James Massey 研制 开发 的 对 称 分 组 
密码 ,是 以 DES 算法 为 基础 发 展 起 来 的 。 


6.1 IDEA 算法 原理 


IDEA 是 一 个 分 组 长 度 为 64 位 的 分 组 密码 算法 , 密 钥 长 度 为 128 位 ,同一 个 算法 既 可 
以 用 于 加 密 , 又 可 用 于 解密 。 由 于 IDEA 是 在 美国 之 外 提出 并 发 展 起 来 的 ,因此 避 开 了 美国 
法 律 上 对 加 密 技术 进出 口 的 诸多 限制 ,使 得 IDEA. 算法 的 实现 技术 和 书籍 都 可 以 自由 出 版 
和 互相 交流 ,推进 了 IDEA 的 发 展 和 完善 。 目 前 许多 开源 组 织 都 使 用 IDEA 作为 加 密 算法 ， 
例如 ,目前 广泛 应 用 的 PGP 就 使 用 了 IDEA 算法 作为 加 密 算法 。 


6.1.1 IDEA 算法 的 基本 结构 


IDEA 算法 的 总 体 结构 见 图 6-1. 

IDEA 算法 用 到 了 三 个 主要 运算 方法 : 按 位 异 或 . 模 2 的 整数 加 和 模 2 + 1 的 整 
数 乘 。 

CD 按 位 异 或 一 一 记 为 外。 

(2) 模 2* 的 整数 加 1181, βὲ 2* 的 整数 加 的 运算 规则 如 下 : 


a Bb = a+b mod 2" (6-1) 
(3) BE 25 十 1 的 整数 乘 一 一 记 为 @。 模 2-1 的 整数 乘 的 运算 规则 如 下 : 
aCb = a * b mod (2% +1) (6-2) 


注意 : 全 零 的 分 组 代表 2", 
6.1.2 IDEA 算法 的 加 密 过 程 


IDEA 算法 的 数据 输入 是 64 位 ,输入 的 数据 被 分 解 为 4 个 16 位 子 分 组 : Xi XS ,Xs 和 
X, ,后 续 加 密 过 程 均 针对 这 4 个 分 组 进行 。 这 4 个 子 分 组 作为 IDEA 加 密 的 第 1 轮 的 输入 ， 
常用 的 IDEA 加 密 算 法 共有 8 轮 。 在 每 一 轮 加 密 过 程 中 ,输入 的 子 分 组 相互 之 间 进 行 异 或 、 
相 加 和 相 乘 ,同时 与 6 个 16 位 的 子 密 钥 进行 异 或 \, 相 加 和 相 乘 。 在 不 同 的 两 轮 之 间 ,第 2 个 
和 第 3 个 子 分 组 进行 交换 。 最 后 的 输出 变换 是 4 个 子 分 组 与 4 个 子 密 钥 进行 异 或 。 
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pA pA 299} του 
(a) (b) (c) (d) 


Yi Y, Y. Yi 
图 6-1 IDEA 加 密 算法 总 体 结构 


对 于 一 轮 的 加 密 过 程 ,具体 的 执行 步骤 如 下 : 

CD X, 和 第 1 个 子 密 钥 相 乘 。 

(2) X, 和 第 2 个 子 密 钥 相 加 。 

(3) X, 和 第 3 个 子 密 钥 相 加 。 

(4) X, 和 第 4 个 子 密 钥 相 乘 。 

(5) 将 第 (1) 步 和 第 (3) 步 运算 的 结果 相 异 或 。 

(6) 将 第 (2) 步 和 第 (4) 步 运算 的 结果 相 异 或 。 

(7) 将 第 (5) 步 的 运算 结果 与 第 5 个 子 密 钥 相 乘 。 

(8) 将 第 (6) 步 的 运算 结果 与 第 (7) 步 的 运算 结果 相 加 。 

(9) 将 第 (8) 步 的 运算 结果 与 第 6 个 子 密 钥 相 乘 。 

(10) 将 第 (7) 步 和 第 (9) 步 的 运算 结果 相 加 。 

(11) 将 第 (1) 步 和 第 (9) 步 的 运算 结果 相 异 或 。 

(12) 将 第 (3) 步 和 第 (9) 步 的 运算 结果 相 异 或 。 

(13) 将 第 (2) 步 和 第 (10) 步 的 运算 结果 相 异 或 。 

(14) 将 第 (4) 步 和 第 (10) 步 的 运算 结果 相 异 或 。 

以 上 的 执行 步骤 与 图 6-1 中 标示 的 步骤 相同 。 在 (11)、(12)、(13) 和 (14) 轮 计算 中 得 到 
4 个 子 分 组 ,将 (12) 和 (13) 得 到 的 两 个 子 分 组 进行 交换 后 得 到 下 一 轮 的 4 个子 分 组 。 


6.1 IDEA 算法 原理 


在 完成 8 轮 运算 之 后 ,还 有 一 步 最 终 变换 , 即 图 6-1 中 的 (a)、(b)、Cc) 和 (d) 运 算 , 这 四 
步 最 终 运 算 为 : 

(a) 将 最 后 一 轮 输出 的 Xi 与 第 9 轮 密 钥 的 第 1 个 子 密 钥 相 乘 。 

(b) 将 最 后 一 轮 输出 的 X, 与 第 9 轮 密 钥 的 第 2 个 子 密 钥 相 加 。 

CO 将 最 后 一 轮 输 出 的 X, 与 第 9 轮 密 钥 的 第 3 个 子 密 钥 相 加 。 

(d) 将 最 后 一 轮 输 出 的 X, 与 第 9 轮 密 钥 的 第 4 个 子 密 钥 相 乘 。 


6.1.3 子 密 钥 的 生成 


IDEA 加 密 算法 一 共用 到 52 个 子 密 钥 ,8 轮 加 密 (或 解密 ) 过 程 每 轮 需要 6 个 子 密 钥 , 共 
48 个 子 密 钥 , 男 有 4 个 子 密 钥 用 于 输出 。 

IDEA 输入 的 密 钥 为 128 位 ,将 输入 的 128 位 密 钥 分 成 8 个 16 位 子 密 钥 ,这 8 个 子 密 钥 
是 算法 的 第 一 批 子 密 钥 ,分 别 是 第 1 轮 的 6 个 子 密 钥 和 第 2 轮 的 第 1 个 和 第 2 个 子 密 钥 。 
然后 将 密 钥 循环 左 移 25 位 ,再 分 割 成 8 个 子 密 钥 ,前 面 4 个 在 第 2 轮 , 后 面 4 个 在 第 3 轮 。 
将 密 钥 再 循环 左 移 25 位 生成 另外 8 个 子 密 钥 ,依次 循环 直到 生成 所 有 的 子 密 钥 。 子 密 钥 的 
生成 过 程 也 可 以 先 将 所 有 的 子 密 钥 生成 完毕 ,然后 再 分 解 到 每 一 轮 。 在 程序 设计 中 ,一般 采 
用 先生 成 52 个 子 密 钥 ,然后 将 52 个 子 密 钥 分 配 到 各 轮 。 

IDEA 加 密 密 钥 具体 的 扩展 方法 如 表 6-1 所 示 。 其 中 各 编号 是 输入 密 钥 所 在 “位 ”位 置 
的 顺序 编号 ,每 一 轮 生 成 密 钥 的 数量 为 8 个 ,并 用 于 不 同 的 加 密 轮 次 。 


表 6-1 IDEA 加 密 密 钥 扩展 表 


轮 Κι K; K; K, K; K, 
1 0-15 16-31 32-47 48-63 64-79 80-95 
2 96-111 112-127 25-40 41-56 57-72 73-88 


105-120 66-81 


4 82-97 98-113 114-1 247 18-33 34-49 
———L—————————ÓÉÓÉÓÉÓÉÓ———Ó———————————e 

5 75-90 91-106 107-122 123-10 11-26 27-42 

6 43-58 59-74 100-115 116-3 4-19 20-35 

7 36-51 52-67 68-83 84-99 125-12 13-28 

8 29-44 45-60 61-76 77-92 93-108 109-124 

9 22-37 38-53 54-69 70-85 


IDEA 算法 的 解密 密 钥 要 么 是 加 密 密 钥 的 加 法 逆 , 要 么 是 乘法 逆 ( 例 如 : 模 2 的 乘法 
逆 )。 解 密 密 钥 的 计算 量 相对 要 大 一 点 。 

加 密 子 密 钥 和 解密 子 密 钥 的 对 照 关系 如 表 6-2 所 示 。 其 中 Z ”表示 ZP REND, 
由 于 2 十 1 是 一 个 素数 ,因此 每 个 非 零 整数 都 存在 模 2 十 1 的 乘法 道 元 ,这 个 关系 可 以 表 
示 为 


τ 96. 


第 6 章 IDEA 算法 
表 6-2 IDEA 加 密 子 密 钥 与 解密 子 密 钥 的 对 照 关系 
轮 数 加 密 子 密 钥 解密 子 密 钥 
1 zi ζῇ» αν ζῶ zi» zi» Ze —zP —z»z»' ποσο 
2 zi" zi. 22 79 zi» zi» zp' —ZP —zp Z Ζῷ zg 
3 zi? zp zp ze zj»p» zp' —zP —z zt ποσο 
4 gi 0 TO LO 9109 ZO" —28 —zpzp' zg zip 
5 ZP z ZP ZP zi ze Ze" 一 区 —zp9zp'zoze 
6 zf^ ZP 24» zi? zi^ zi» zi --245 —zi Zo σσ 
7 24» 2j? zi? LP zi» συ Ze —2P —zp9 Ζωη zg zP 
8 ZI» 21» LO 715 2:5 gon Z2 一 7 --Ζῳ ZET zP zP 
输出 变换 2p» gp 7» ZO -2? χω zp 
ZP ZP” =1 mod (2% 41) 或 ZPOZ =1 (6-3) 
一 ZW 表示 ZP 的 加 法 北 元 ,这 个 关系 可 以 表示 为 


—Z +Z —0mod2" 或 —ZP g? =0 (6-4) 


6.2 IDEA 算法 实现 


IDEA 算法 的 实现 过 程 主要 包括 : 数据 初始 化 .生成 加 密 密 钥 .计算 解密 密 钥 和 加 密 四 
个 部 分 。 相 关 数 据 和 函数 的 声明 在 IDEA. h 中 ,相关 实现 在 IDEA. cpp 中 ,具体 调用 在 主 函 
数 中 。 

由 于 在 数据 处 理 过 程 中 用 到 了 16 位 的 数据 .32 位 的 数据 和 字 节 型 的 数据 ,为 了 方便 处 
理 , 这 部 分 数据 在 IDEA. h 中 声明 ,声明 过 程 如 下 ， 


typedef unsigned char byte; 
typedef unsigned short wordl6; 
typedef unsigned long word32; 


byte 用 于 处 理 字 节 型 数据 ,word16 用 于 处 理 长 度 为 16 位 的 数据 , word32 用 于 处 理 32 
位 数据 。 

软件 的 具体 结构 如 图 6-2 所 示 。 

IDEA 类 图 中 各 主要 变量 的 功能 如 下 : 

key[16] 一 一 用 于 获得 输入 的 密 钥 ,数据 类 型 为 字 节 型 ,处 理 密 钥 的 长 度 为 128 位 ; 

plainText[L4] 一 一 用 于 存储 输入 的 明文 ,数据 类 型 为 word16; 

cipherText 用 于 存储 加 密 后 得 到 的 密 文 , 数 据 类 型 为 word16; 

deCipherText[4] 一 一 用 于 存储 解密 后 得 到 的 明文 ,数据 类 型 为 wordl6; 

encRoundKeyL52] 一 一 用 于 存储 加 密 密 钥 ,数据 类 型 为 word16; 


6.2 IDEA 算 法 实现 9). 


IDEA 
- key[16] : byte 
- plainText|4] : wordl6 
- cipherText : wordl6 


- deCipherText[4|] | : wordl6 
- encRoundKey[52] : wordl6 
- decRoundKey[52] : wordl6 


* setKey (short in[]) : void 
+ setPlainText (short in[]) 1 void 
- getEncRoundKey (wordl6* encRoundKey) : void 
- getDecRoundKey (word! 6* EK, wordl 6 DK[]) : void 
+ encryption (word! 6 ἵπ[]. wordl6 out[], word! 6* EK) : void 
+ enc() : void 
+ invMul (word! 6 x) : wordl6 
+ mul (wordl6 x, wordl6 y) : wordl6 


图 6-2 IDEA 算法 实现 的 基本 类 图 


decRoundKey[ 52] 一 一 用 于 存储 解密 密 钥 ,数据 类 型 为 word16。 
IDEA 类 的 完整 声明 见 程序 清单 6-1。 


程序 清单 6-1 
Ol class IDEA 
0 ( 
03 public: 
04 void setKey (byte in[]); 
05 void setPlainText (byte in[]); 
06 wordl6 invMil (wordl6 x); 
07 wordl6 mul (wordl6 x,wordl6 y); 
08 void encryption (wordl6 in[],wordl6 out[],wordl6 * EK); 
09 void enc(); 
10 private: 
1l void getEncRoundKey (word16 * encRoundKey) ; 
12 void getDecRoundKey (word16 const κ EK,wordl6 IK[]) ; 
13 byte key[16]; 
14 wordl6 plainText [4]; 
15 wordl6 cipherText [4]; 
16 wordl6 deCipherText [4]; 
17 wordl6 encFoundKey [52] ; 
18 wordl6 decRoundkKey [52] ; 
19 void checkRoundkey () ; 


20 i 


6.2.1 数据 初始 化 


在 IDEA 算法 的 实现 过 程 中 ,数据 初始 化 包括 两 部 分 内 容 : 明文 初始 化 和 密 钥 初 始 化 。 
明文 初始 化 需要 将 字 节 型 的 明文 转换 为 word16 型 数据 ,而 密 钥 初始 化 只 需要 字 节 读 入 字 
节 型 的 密 钥 ,将 字 节 型 密 钥 转换 为 word16 型 密 钥 的 过 程 在 轮 密 钥 的 计算 过 程 实现 。 
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明文 初始 化 过 程 由 函数 setPlainText( 〇 实现 ,setPlainText() 函 数 的 具体 细节 见 程 序 清 


单 6-2。 
程序 清单 6-2 
0l void ITEA::setPlainText (byte in[]) 
0 { 
03 inti; 
04 for(i-0;i«8;i*- 2) 
05 { 
06 plainText [i/2]= (in[i]«« 8)+ in[i+ 1]; 
07 ) 
0 ) 


由 于 输入 的 数据 是 8 个 byte 型 数据 ,数据 长 度 为 8 为 ,而 用 于 加 密 处 理 的 数据 是 16 位 
的 word16 型 数据 ,因此 在 获取 明文 时 需 将 数据 进行 转换 ,将 两 个 输入 数据 合并 成 一 个 数 
据 。 合 并 的 方法 为 将 第 1 个 数据 左 移 8 位 并 与 第 2 个 数据 相 加 ,程序 清单 6-2 中 的 第 6 行 
代码 完成 了 这 一 功能 。 

初始 化 密 钥 通过 函数 setKey() 实 现 ,setKey() 函 数 的 具体 内 容 见 程序 清单 6-3 。 


程序 清单 6-3 
Ol void IDEA: :setKey (byte in[]) 
a2 { 
03 inti; 
04 for (i= 07i< 16;i+ + ) 
05 { 
06 keyli]- ini]; 
07 } 


08 getEncRoundKey (encRoundkey) ; 

09 getDecRoundkKey (encFoundKey, decRoundkey) ; 

10 ) 

初始 化 密 钥 的 过 程 由 将 密 钥 数据 直接 读 入 、 计 算 加 密 密 钥 、 计 算 解密 密 钥 三 部 分 组 成 ， 
计算 加 密 密 钥 函数 getEncRoundKey() 和 计算 解密 密 钥 函数 getDecRoundKey() 将 在 6. 2. 2 
节 有 具体 说 明 。 


6.2.2 ZAER 

IDEA 算法 的 密 钥 生成 包括 加 密 密 钥 的 生成 和 解密 密 钥 的 生成 ,加 密 密 钥 的 生成 通过 
函数 getEncRoundKey() 实 现 , 具 体 代 码 见 程序 清单 6-4。 

程序 清单 6-4 


0l void IDFA: :getEncRoundKey (wordl6 * encRoundKey) 
吧 { 

03 int i,j; 

04 for (i= 0, = 07« 873+ +) 


6.2 IDEA 算法 实现 


05 t 

06 encRoundkey[j]= (key i ]«« 8)+ key [i 1]; 
07 it-2; 

08 } 

09 for (i= 0;}< 5273  ) 

10 { 

11 itt; 

12 encRoundKey [i+ 7]= encRoundkey [1&7]«« 9| encRoundkey[ (i+ 1) & 7]» > 7; 
13 encRoundKey+ = 188; 

14 ie; 

15 ) 

16 ) 


在 程序 清单 6-4 中 第 4 行 到 第 8 行 代码 是 将 byte 型 密 钥 转换 为 word16 型 密 钥 ,输入 
的 16 个 字 节 型 密 钥 直接 转换 为 word16 型 密 钥 , 即 加 密 密 钥 的 第 0 个 密 钥 到 第 8 个 密 钥 , 代 
码 行 的 第 6 行 实现 将 两 个 字 节 型 数据 转换 为 一 个 wordlo 型 数据 。 
第 9 行 到 第 15 行 代码 用 于 计算 其 余 加 密 密 钥 。 从 第 9 个 加 密 密 钥 起 ,每 8 个 加 密 密 钥 
相当 于 前 8 个 密 钥 循环 左 移 25 位 ,图 6-3 为 第 9 个 (索引 值 为 8) 的 密 钥 的 计算 方法 。 
164; maaa CG —_+ 1 6; —] 


e — 


图 6-3 密 钥 计算 方法 示意 图 


第 9 个 加 密 密 钥 实际 上 是 第 2 个 密 钥 的 低 9 位 与 第 3 个 密 钥 的 高 7 位 组 成 ,具体 实现 
通过 将 第 2 个 密 钥 左 移 9 位 ,将 第 3 个 密 钥 右 移 7 位 ,再 将 两 者 进行 “| "运算 便 得 到 第 9 个 
密 钥 ,其 他 密 钥 的 计算 以 此 类 推 。 例 如 : 假设 第 2 个 密 钥 密 钥 是 (1010111100010101) ,第 3 
个 密 钥 是 (1011001000111010) , 则 第 9 个 密 钥 计算 过 程 为 ， 

(1010111100010101)<<9—-(0010101000000000) 

(1011001000111010)>>7—> (0000000101100100) 

(0010101000000000) | (0000000101100100) —> (0010101101100100) 

计算 解密 密 钥 通过 函数 getDecRoundKey() 实 现 , 函 数 具 体 代 码 见 程序 清单 6-5, 


程序 清单 6-5 


Ol void IDFA: :getDecRoundKey (wordl6 const * EK,wordl6 IK[]) 


oe t 

03 inti; 

04 wordl6 temp[52]; // 计 算 用 临时 密 钥 组 
05 wordlé t1,t2,t3; // 计 算 用 临时 变量 
06 wordlé κ p= tempt 52; //52 为 密 钥 数量 

07 tl-imnMi(* ΕΚ. +); 

08 t2-- * EKr+; 

09 t3-- * EK +; 


10 ΚΡ “πη (x EKt + ); 


- 99. 
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11 * --p-t3; 

12 * --p-t2; 

13 *--p tl 

14 for (i= O;i< 77i++) 

15 { 

16 tl= * EKr+; 

17 *--p-*EFÉFt; 
18 *--p tl 

19 tl-imMi(* ΕΚΕ +); 
20 t2-- * K+; 

a t3-- * EKF * ; 

2 * --peimMi(* EK+ +); 
23 *--p-2z 

24 * --prt3 

25 *--p-tl 

26 } 

2 tl= * EK++; 

28 *--p-* K+; 

29 * --p=t1; 

30 tl= inul (* EKr+); 

Ej t2-- * EKt+; 

32 t3=—- * EKF* ; 

33 * --peimnMil(* EK++); 
34 * --p=t3; 

3 * -- pt2; 

36 * --p=t1; 

37 for (i= 0,p= temp; i< 52;i+ +) 
38 { 

39 * IKr += * p; 

40 * ptt-0; 

4 } 

42 } 


K 6-2 中 说 明了 解密 密 钥 与 加 密 密 钥 的 具体 关系 ,以 第 1 轮 解 密 密 钥 为 例 ,第 1 个 解密 
密 钥 和 第 4 个 密 钥 是 相应 密 钥 的 乘法 逆 元 ,第 2 个 和 第 3 个 密 钥 是 相应 密 钥 的 加 法 逆 元 ,第 
5 个 密 铀 和 第 6 个 密 钥 直接 使 用 了 对 应 的 密 钥 。 

计算 乘法 逆 元 通过 函数 invMulO 〇 实现 ,invMul() 函 数 的 具体 代码 见 程序 清单 6-6。 


程序 清单 6-6 


Ol wordl6 IDEA: :invMil (wordl6 x) 
2 { 

03 wordl6 t0,tl; 

wordl6 q, y; 

if(x<=1) 

t 


$85 


6.2 IDEA 算法 实现 


return x; //x= 03k, x= 1,3 i HC AU HU Er 
} 
t1- wordl6 (0x10001L/x) 7 
y= word16 (0x10001L&x) 7 
if(y==1) 
{ 

return (1- t1) &OxFFFF; 
} 
tel; 
dot 

q-x/yi 

x-x*y; 

tOr=q* tl; 

ifQ--1) 

t 

return t0; 

) 

q-y/xi 

y= ysx; 

tl+=q* το; 
}while (y!= 1); 
retum (1- t1) &0xFFFF; 

} 


乘法 逆 元 的 计算 和 2. 3.4 节 中 的 计算 方法 一 样 ,根据 IDEA 算法 的 需要 ,将 乘法 逆 元 用 
word 16 型 数据 作为 函数 的 返回 值 返回 ,并 简化 了 数据 处 理 的 方法 ,将 结构 体 改 为 单独 的 变 
量 进 行 处 理 。 

6.2.3 加 密 过 程 和 解密 过 程 的 实现 

加 密 过 程 和 解密 过 程 通 过 函数 encryption(word16 in| ]. wordl6 out[ ],word16 * EK) 

实现 ,函数 参数 分 别 为 word16 的 输入 、 输 出 和 密 钥 ,函数 实现 的 代码 见 程序 清单 6-7。 
程序 清单 6-7 


Ol void IDEA: :encryption (wordl6 in[],word16 out[],wordl6 * EK) 


02 
03 
04 


8 


{ 
wordl6 x1,x2,x3,x4,t1,t2; 
x= in[0]; 
x2in[l]; 
x3-in[2]; 
x4-in[3]; 
int r-8; 
do 
{ 
xl=m (xl, * EK+ +); 


KOR 
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12 x= * K++; 

B x3t- * K++; 

14 x4-mil (x4, * EKt +); 
15 t2-xl^x3; 

16 tl-x2^x4; 

17 t2-mil (t2, * EK+ +); 
18 tl-tL t2; 

19 tl=ml (t1, * EK+ +); 
20 t2-tltt2; 

21 xl Stl 

2 x4 το) 

23 t2= x2; 

24 x2= x3“t1; 

2 xU 

26 While(--r); 

21 xl-mul (xl, * EK+ +); 

28 * outtt-xl; 

29 * out++=x3+ * EK+ +; 
30 * outt +=x2+ * EKr+; 
31 x4-mil (x4, * ΕΚΕ +); 

2 * out= x4; 

3 } 


加 密 过 程 按照 6. 1. 2 节 描 述 的 过 程 实现 ,在 加 密 过 程 中 使 用 了 wordl 乘法 运算 ,注意 
事项 为 全 零 的 分 组 代表 2* 。 乘 法 运算 通过 函数 mul() 实 现 ,mul() 函 数 的 完整 代码 见 程 序 


清单 6-8。 
程序 清单 6-8 
Ol wordl6 IDEA: :mul (wordl6 x,wordl6 y) 
0 { 
03 word32 p; 
04 P= (word32)x * y; 
05 if) 
06 { 
σ ΥΞΡΕΟΚΕΕΕΕ; // 取 低 16 位 
08 x-p»»16; 
09 return (y-x)* (y« x); 
10 } 
u else if (x) 
12 { 
1 return 1- y; 
14 } 
15 else 
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17 retum 1- x; 


IDEA 算法 的 加 密 和 解密 过 程 完全 一 样 ,只 是 输入 的 数据 不 同 ,可 以 在 头 文件 中 添加 
encO 函数 ,并 在 实现 文件 中 具体 实现 ,程序 清单 6-9 为 加 密 、 解 密 示例 。 


程序 清单 6-9 


Ol void ITEA::enc() 

2 { 

03 encryption (plainText, cipherText, encRoundkey) ; 

04 encryption (cipherText, deCipherText, decRoundkey) ; 

05 } 

代码 的 第 3 行为 加 密 过 程 ,函数 参数 分 别 是 输入 的 明文 输出 的 密 文 和 加 密 密 钥 , 代 码 
的 第 4 行为 解密 过 程 ,解密 过 程 使 用 的 函数 参数 为 密 文 .解密 后 的 明文 和 解密 密 钥 。 


6.2.4 程序 测试 


车 需要 测试 程序 ,可 以 编写 相应 的 测试 函数 ,例如 在 头 文 件 中 加 入 IDEA Test O 函数 ， 
该 函数 用 于 测试 程序 结果 是 否 存在 问题 ,IDEATest() 函 数 的 具体 代码 见 程 序 清单 6-10。 
程序 清单 6-10 


Ol void IDEA::IDEATest () 


0 ( 

03 ofstream out ("ideatest .out") ; 

04 out«« "The input key is:"«« endl; 
05 inti; 

06 for(i=0;i<16;i++) 

07 I 

08 out«« hex«« int (key[i])<< " "; 
09 } 

10 out<< endl; 

11 out<< "The plain text is:"<< endl; 
12 for (i= O7i< 47i++) 

B { 

14 out«« hex<< plainText [i]«« " "; 
15 } 

16 out<< endl; 

17 out<< "The cipherText is:"<< endl; 
18 for (i= O;i< 4;i+ +) 

19 { 

20 out<< hex<< cipherText [i]«« " "; 
2 } 


22 out<< endl; 
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B out<< "The deCipherText is:"<< endl; 

24 for (i= O;i< 4;i++) 

25 { 

26 out<< hex«« deCipherText [i]<< " "; 
27 } 

28 out<< endl; 

29 } 


代码 第 3 行 定义 保存 测试 结果 的 文件 ,代码 第 6 行 到 第 9 行为 输出 输入 的 密 钥 ,代码 第 


12 行 到 第 15 行为 输出 输入 的 明文 ,代码 第 18 行 到 第 21 行为 输出 加 密 后 的 密 文 ,代码 第 24 
行 到 第 27 行为 输出 解密 后 的 明文 。 


具体 测试 可 以 通过 主 函数 进行 驱动 , 主 函数 代码 见 程 序 清单 6-11. 
程序 清单 6-11 


ge 
m. 
H 


IDEA idea; 

byte key[16]= (0x10, Ox1A, OxOC, 0x0B, 0x01, 0x11, 0x09, 0x07, 0x32, OxAl, 
0x3, 0x06, 0x23, 0x12, OxD3, OxF1) ; 

idea.setKey (Key) ; 

byte plainText [8]= {0xA7, 0x95, 0x87, 0x23, ΟΧ1Ε, Ox2C, 060, 0x73}; 

idea.setPlainfText (plainText); 

idea.enc(); 

idea.IDEATest () ; 

1 retum 0; 

12 } 


在 主 函 数 中 完成 密 钥 、 明 文 的 设置 ,然后 进行 加 密 和 解密 ,再 调用 IDEA. 类 的 测试 函数 


5988988852898 


完成 测试 ,得 到 的 测试 数据 如 下 : 


The input key is: 

10 la c b 1 11 9 7 32 al b3 62312431 
The plain text is: 

8795 8723 1f2c 64/3 

The cipherText is: 

141c 4811 8432 24cb 

The deCipherText is: 

a795 8723 1£2c 64/3 


经 过 解密 后 的 数据 与 输入 的 明文 一 致 。 在 这 个 测试 示例 中 仅 对 输入 的 一 组 数据 进行 加 


密 和 解密 ,在 对 文件 进行 加 密 和 解密 时 需 根 据 采用 的 加 密 和 解密 模式 具体 进行 。 


6. 


3| 习题 与 实践 题 


6.3.1 习题 


1. 试 说 明 IDEA 加 密 算 法 的 密 钥 生 成 原理 。 


6.3 习题 与 实践 题 
2. 试 简要 说 明 IDEA 加 密 算法 的 加 密 过 程 。 
6.3.2 实践 题 


参考 6.2 节 IDEA 加 密 算 法 的 实现 过 程 ,编程 实现 IDEA 加 密 算法 ,要 求 : 待 加 密 消 息 
从 文件 中 读 取 , 待 加 密 消 息 的 长 度 为 64 位。 
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Blowfish 算法 


Blowfish 算法 是 由 Bruce Schneier 于 1994 年 设计 的 对 称 分 组 加 密 算法 ,该 算法 具有 快 
速 、 紧 竣 、 简 单 和 长 度 可 变 等 特性 ,其 加 密 的 长 度 可 以 从 64 位 起 ,最 大 可 以 达到 448 位 。 
Blowfish 算法 在 设计 时 就 考虑 了 分 组 密码 存在 的 一 些 缺 陷 , 因 此 ,加 强 了 算法 的 抗 差 分 分 析 
的 能 力 。Blowfish 算法 是 非 专 利 算法 ,其 算法 原理 和 相关 代码 都 是 公开 的 ,因此 使 其 应 用 得 
到 了 较 广泛 的 推广 。Blowfish 算法 不 仅 可 以 单独 使 用 ,也 可 以 和 其 他 加 密 算 法 结合 ,进行 混 
合 使 用 ,例如 : 使 用 Blowfish 结合 MD5 进行 混合 加 密 。 


7.1 Blowfish 算法 原理 


Blowfish 算法 是 一 个 64 位 分 组 密码 算法 ,其 密 钥 长 度 是 可 变 的 。Blowfish 算法 的 主体 
结构 包括 两 部 分 ,其 一 是 密 钥 扩展 ,其 二 是 加 密 。 
Blowfish 算法 的 基本 流程 如 图 7-1 所 示 。 

图 7-1 中 的 P 表示 密 钥 ,这 个 密 钥 必须 在 加 密 和 解 
密 之 前 进行 预计 算 , 密 钥 共 有 18 个 32 位 的 子 密 钥 
组 成 。 

典型 的 Blowfish 加 密 算法 的 输入 是 64 位 数据 , 输 
出 也 是 64 位 数据 ,计算 轮 数 为 16 轮 , 加 密 方 法 属于 典 
型 的 Feistel 结构 加 密 方 法 。 


7.1.1 Blowfish 算法 的 加 解密 过 程 


假设 输入 的 64 位 数据 为 X, 密 钥 为 P, 则 Blowfish 
算法 的 加 密 过 程 可 以 描述 如 下 : 

CD 将 输入 的 64 位 数据 分 成 32 位 的 左右 两 部 分 ， 
分 别 记 为 Xe 和 XL。 

(2) 对 于 1 到 16 轮 计算 : 

(a) ΧιΞ-ΧιΘΡ; 

(b) Xr=F(XL)DXr 

(c) 如 果 不 是 第 16 轮 , 将 Xp GX, 交换 图 7-1 Blowfish 加 密 算法 的 基本 流程 

(3) Xx =XrDP 


64 位 


32 位 32 位 
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(4) X, =X. @Pis 
(5) 合并 Xk 和 X, 得 到 输出 
在 加 密 过 程 中 使 用 了 函数 下 来 进行 加 密 运 算 , 函 数 下 的 加 密 过 程 如 图 7-2 所 示 。 


8 位 στι 82 
8 Γον 
80 
8 位 [sas 
8 位 [ofa 
图 7-2 ”下 函数 运算 示意 图 
F 函数 的 运算 过 程 为 : 


CD 将 32 位 的 Xi 分 割 成 4 部 分 8 位 数据 ,分 别 为 a,b,c,d。 
(2) 计算 FOX ,F(XL) 的 计算 方法 如 下 : 
F(X) = ((S1,, + S2,smod 2?) XORS;,.) + S,.umod 2° (7-1) 

其 中 : Si, 表示 第 1 个 S 盒 的 第 a 个 数据 ,Ss 表示 第 2 个 S 盒 的 第 5 个 数据 ,S;,. 表 示 第 3 
个 S 盒 的 第 c 个 数据 ,Se 表示 第 4 个 S 盒 的 第 d 个 数据 。 

在 Blowfish 算法 中 ,共有 4 个 S 盒 ,每 个 S 盒 有 256 个 数据 ,每 个 数据 的 长 度 是 32 位 。 
F 函数 的 运算 过 程 中 用 到 的 数据 是 输入 数据 中 的 8 位 ,该 8 位 数据 确定 取 S 盒 中 的 第 几 个 
数据 。 

Blowfish 的 解密 过 程 与 加 密 过 程 相似 ,只 是 以 北 序 方式 使 用 密 钥 Pi s Pos e+ Pag ,其 他 
过 程 与 加 密 过 程 一 样 。 


7.1.2 Blowfish 算法 的 密 钥 生成 


Blowfish 算法 的 明文 输入 是 64 位 , 子 密 钥 PUJE 32 位 的 ,初始 子 密 钥 根 据 加 密 算法 的 
具体 细节 不 同 而 变换 ,图 7-1 所 示 的 子 密 钥 数量 为 18 个 。 输 入 的 密 钥 为 字符 型 密 钥 ,长度 
可 变 。Blowfish 使 用 的 子 密 钥 需 经 过 初始 计算 才能 用 于 数据 加 密 , 子 密 钥 的 计算 流程 如 下 : 

CD 初始 化 P 数组 ,S 盒 和 全 零 固定 的 串 。 

(2) 用 密 钥 的 第 一 个 32 位 与 子 密 钥 PLI] 进 行 “ 异 或 ”, 用 密 钥 的 第 二 个 32 位 与 子 密 钥 
P[2 ] 进行“ 异 或 ”, 密 钥 是 周期 性 使 用 ,例如 , 当 输入 的 密 钥 为 "TwoFish” 时 ,具体 使 用 方法 
如 图 7-3 所 示 。 


图 7-3 密 钥 周期 性 使 用 示意 图 
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当 所 有 子 密 钥 P 与 密 钥 异 或 后 结束 。 

(3) 利用 Blowfish 加 密 算法 对 全 零 串 进行 加 
密 , 加 密 轮 数 为 子 密 钥 数量 ,例如 有 全 零 串 dataL 和 
dataR ,其 加 密 流 程 如 图 7-4 所 示 。 

在 计算 过 程 中 每 一 轮 使 用 的 密 钥 都 不 相同 ,使 
用 的 是 经 过 计算 以 后 的 P]. 

(4) 采用 与 步骤 3 相同 的 方法 ,输入 的 dataL 
和 dataR 为 步骤 3 的 最 后 一 步 得 到 的 数据 ,对 S & 
进行 同样 的 计算 ,在 计算 S 盒 的 过 程 中 用 到 的 S & 


也 是 连续 变化 的 。 
子 密 钥 和 5 盒 的 计算 过 程 需 要 在 加 密 或 解密 之 


图 7-4 Blowfish 算法 子 密 钥 计 算 流程 


7.2| Blowfish 算法 实现 


Blowfish 算法 的 特点 是 子 密 钥 P 和 S 盒 根据 密 钥 的 变化 而 变化 ,并 且 在 加 密 或 解密 之 
前 需 用 到 加 密 算法 来 计算 子 密 钥 P 和 S 盒 , 加 密 或 解密 的 过 程 并 不 使 用 原始 的 子 密 钥 P 和 
ΜΙΑ SE. 

Blowfish 算法 实现 的 基本 过 程 为 : 

CD 初始 化 原始 子 密 钥 .原始 S 盒 。 

(2) 通过 输入 的 可 变 长 度 的 密 钥 和 加 密 方法 计算 子 密 钥 、S 盒 。 

(3) 加 密 或 解密 。 

在 加 密 过 程 中 输入 的 明文 是 64 位 ,但 在 加 密 过 程 中 可 以 分 为 左右 各 半 , 因 此 只 需 处 理 
32 位 的 数据 ,在 Blowfish 算法 的 实现 过 程 中 可 以 用 以 下 方式 来 处 理 数据 : 

typedef unsigned char byte; 

typedef unsigned long word32; 
也 就 是 使 用 byte 处 理 8 位 数据 ,用 word32 处 理 32 位 数据 ,这 样 在 数据 处 理 过 程 中 比较 简明 。 

Blowfish 算法 实现 的 类 的 主要 结构 如 下 : 


Blowfish 
- originP[18] : Static const word32 
- originSBox[4][256] : static const word32 
- P[18] :word32 
- sBox|4][256] : word32 
* init (unsigned char* key, int keyLength) : void 
* encryption (word32* xl, word32* xr) : void 
* decryption (word32* xl, word32* xr) : void 
+ F (word32 x) : word32 
* Test() : void 


图 7-5 Blowfish 类 的 基本 结构 
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Blowfish 类 的 具体 声明 见 程序 清单 7-1 。 


程序 清单 7-1 
0l class Blowfish 
2 { 
03 public: 
04 Blowfish ()7 
05 void init (unsigned char* key, int keylength); 
06 void encryption (word32 * xl,word32 * xr); 
07 void decryption(word32 * xl,word32 * xr); 
08 word32 F (word32 x); 
09 void Test () ; 
10 private: 
11 static const word32 originP[18]; 
12 static const word32 originSBox [4] [256]; 
B word32 P[18]; 
14 word32 sBox[4] [256]; 
by 


在 Blowfish 类 中 变量 主要 包括 初始 子 密 钥 originP TEH P.I Mt S & originSBox 和 
S 盒 sBox, 函 数 主要 包括 初始 化 函数 init() Sn BF PARK encryption O «ΒΕ # PR BW decryption() 
和 下 函数 。 


7.2.1 加 密 和 解密 的 实现 


在 Blowfish 算法 中 ,生成 子 密 钥 和 S 盒 均 需要 用 到 加 密 函 数 。 加 密 函 数 的 具体 代码 见 
程序 清单 7-2。 


程序 清单 7-2 
Ol void Blowfish::encryption(word32 * xl,word32 * xr) 
a í 
03 word32 Xl,Xr; 
04 Xl= * xl; 
05 Xr- * xr; 
06 inti; 
07 word32 temp; 
08 for (i= O;i< 16;i+ +) 
09 { 
10 XI-Xl^Pli]; 
1 Xr-F(Xl)^Xr; 
12 if(i< 15) 
B { 
14 temp=X1; 
15 X= Xr; 
16 Xr- temp; 
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18 } 

19 Xr-Xr^P[16]; 
20 XI- X-P[17]; 
a * x1=X1; 

22 * xr-Xr; 

23 } 


加 密 函 数 将 待 加 密 的 数据 分 为 左右 各 半 作 为 参数 进行 加 密 , 第 8 行 代 码 到 第 18 行 代码 
为 16 轮 加 密 运算 ,在 最 后 一 轮 运算 时 , 左 半 部 分 和 右 半 部 分 的 数据 不 进行 交换 。 完 成 16 轮 
运算 之 后 再 进行 余下 运算 。 加 密 函 数 既 用 于 加 密 数据 ,也 用 于 P 盒 和 S 盒 的 生成 。 

解密 函数 与 加 密 函 数 的 实现 方法 相同 ,但 使 用 的 P 盒 的 顺序 与 加 密 函 数 使 用 P 盒 的 顺 
序 相 反 。 解 密 函 数 具体 代码 见 程序 清单 7-3。 


程序 清单 7-3 
0L void Blowfish::decryption(word32 κ xl,word32 * xr) 
0 ( 
03 word32 Xl,Xr; 
04 word32 temp; 
05 inti; 
06 X= * xl; 
07 Xr= * xr; 
08 for (i= 17;i> 1;- - i) 
09 { 
10 XI- Xl^P[i]; 
1 Xr-F(Xl)^Xr; 
12 46422) 
13 { 
14 tenp- ΧΙ; 
15 Xl-Xr; 
16 Xr- tenp; 
17 ) 
18 } 
19 Xr= Xr^P[1]; 
20 XI- XI^P[0]; 
21 * xI-Xl; 
22 * x= Xr; 
23 } 


在 加 密 和 解密 函数 中 都 用 到 了 Ε 函数 ,下 函数 是 Blowfish 算法 的 核心 之 一 ,F 函数 具 
体 实 现 的 代码 见 程序 清单 7-4。 


程序 清单 7-4 


Ol word2 Blowfish: :F (word32 x) 
吧 { 
03 byte a,b,c,d; 
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04 word32 y; 

05 d- (byte) (x&OxFF) 7 
06 χ»»-8; 

07 C- (byte) (x&OxFF) ; 
08 χ»»-8; 

09 b= (byte) (x&0xFF) 7 
10 «22-68; 

nu a= (byte) (x&OxFF) 7 
12 y= sBox[0] [a] sBox [1] [b]; 
B y= y^sBox[2] [c]; 
14 y= y+ Box [3] [d]; 
15 retum y; 


16 } 


F 函数 的 实现 过 程 : 首先 将 word32 型 32 位 的 参数 分 割 成 4 个 8 位 的 字 节 型 数据 , 然 
后 ,通过 这 4 个 字 节 型 数据 定位 在 初始 S 盒 中 的 位 置 ,再 通过 S & 
的 取 值 计算 获得 F 函数 的 运算 结果 。 将 word32 型 数据 分 割 成 字 [r Y V N 
节 型 数据 的 具体 方法 如 图 7-6 所 示 。 
在 下 函数 实现 中 充分 利用 了 “&” 运 算 和 “二 二 ”( 移 位 ) 运 算 ， de 
例如 : d= (γιο) (x&.0xFF) ;的 作用 是 取 x 的 最 右 8 fix —8 转换 示意 图 
是 将 x 按 位 右 移 8 位 ,方便 进行 下 一 个 字 节 的 运算 ,例如 : 当 d 运 
算 完毕 之 后 ,将 x 右 移 8 位 ,此 时 再 进行 (x&0xFF) 运 算 , 得 到 的 是 字 节 c。 在 数据 全 部 分 割 
完 之 后 再 从 S 盒 取 值 并 进行 相应 的 运算 。 在 Blowfish 算法 中 ,S 和 为 4X256, 在 程序 中 通 
过 sBox[L4]L256], 其 中 ,256 正好 与 F 函数 中 的 a,b,c,d 对 应 。 


7.2.2 数据 初始 化 


Blowfish 算法 数据 初始 化 包括 两 部 分 ,一 部 分 是 初始 子 密 钥 originP 和 初始 S & 
originSBox 的 初始 化 , 另 一 部 分 是 加 密 或 解密 数据 时 与 输入 密 钥 相 对 应 的 子 密 钥 P 和 S & 
sBox 的 初始 化 。 初 始 子 密 钥 originP 是 大 小 为 18 的 一 维 数组 ,初始 S 盒 originSBox Ἢ 4X 
256 的 二 维 数组 ,在 程序 示例 中 作为 常量 进行 处 理 。 

初始 子 密 钥 originP 和 初始 S £ originSBox 的 初始 化 见 程 序 清单 7-5。 

程序 清单 7-5 
OL const word32 Blowfish: :originP[18]- { 
0x243f6a88, 0x85a308d3, 0x13198a2e, 0x03707344, 0xa4093822, 0x299f31d0, 


02 

03 Ox082efa98, Oxecdeéc89, 0x452821e6, 0x38d01377, Oxbeb466cf, 0x34e90céc, 
04 OxcOac29b7, Oxc97c50dd, Ox3f84d5b5, 0xb5470917, 0x9216d5d9, Ox8979fblb); 
05 
06 


const word32 Blowfish: :originSBox[4] [256]- { 
(Oxdl3l0ba6, Ox98dfbbac, Ox?ffd/2do, OxdOladfb7, OxbSelafed, 0x6a267e96, 


07 Oxba7c9045, Oxfl2c7f99, 0x24a19947, Oxb3916cf7, Ox0801f2e2, Ox858efclo, 
08 0x63692038, 0x71574e69, Oxa458fea3, Oxf4933d7e, Ox0d95748f, Ox728eb658, 
09 Ox718bod58, 0x82154aee, Ox7b54a4ld, Oxc25a59b5, 0x9c30d539, 0x2af26013, 


10 Oxc5dlb023, 0x286085£0, Oxca417918, Oxb8db38ef, Ox8e79ddo0, 0x603a180e, 


y A 
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Ox6c9e0e8b, Oxb0le8a3e, Oxd71577cl, Oxbd314b27, Ox78af2fda, 0x55605c60, 


0x57489862, 0x63e81440, 
Oxal5486af, 0x7c72e993, 
OxceSc3el6, 0x9do8793le, 
Ox308£4898, Oxéb4hb%f, 
Ox487cac€0, OxSdec8032, 


Ox55ca396a, Ox2aablüb6, 
Qxb3eel4ll, Ox636fbc2a, 
Oxafidéba33, Ox6c24cf5c, 
Oxc4bfe8lb, 0x66282193, 
Oxef845dbd, Oxe98575b1, 


0x23893e81, Oxd396acc5, OxOf6d6ff3, 0x83£44239, 
Ox69c8f04a, Ox9elfdo5e, 0x21c66842, Oxf6e96c9a, 
OxéaSla0d2, Oxd8542f68, 0x960fa728, 0xab5133a3, 
Oxba3bf050, Ox7efb2a98, Oxalflé5ld, 0x39af0176, 
Ox8cee8619, Ox456f9fb4, Ox7d84a5c3, Ox3bBüb5ebe, 
0x401a449f, Ox56cl6aa6, Ox4ed3aaC?, 0x363£7706, 
0x37d0d724, Oxd00a1248, Oxdb0fead3, Ox49flc09b, 
0x25d47908, Oxf6eSdef7, Oxe3fe50la, 0xb6794c3b, 
Oxcla94fb6, O0x409f60c4, Ox5e5c9ec2, 0x196a2463, 
Ox1339b0eb, Ox3b52ec6f, Ox6dfc5llf, 0x%30952c, 
Oxbee3d004, Oxde334afd, 0x660£2807, 0x192e4hb3, 
Oxd20b5f39, Oxb9d3fbdb, 0x5579cObd, Oxla60320a, 
Ox679f25fe, Oxfblfa3cc, 0x8ea5e9f8, Oxdb3222f8, 
Ox2f501ec8, Oxad0552ab, Ox323dbbfa, Oxfd238760, 
Ox9e5c57Hb, Oxca6f8ca0, Oxla87562e, Oxdfl769do, 
Oxac6732c6, Ox8c4f5573, Ox695527b0, OxHbca58c8, 
OxlOfa3d98, Oxfd2183b8, Ox4afcbSéc, 02411435», 
Oxd28e49bc, Ox4bfb9790, Oxelddf2da, Oxa4cb7e33, 
Oxef20cada, 0x36774c01, Oxd07e9efe, Ox?bfllfb4, 
Oxeaad8e71, OxG593d5a0, OxdOSedldO, Oxafc725e0, 
Ox8ff6e2fb, Oxf2122b64, Ox8888b812, Ox900dfOlc, 
Oxdlcffl9l, Oxb3a8clad, 0x2f2f2218, Oxbe0el777, 


u 

12 0xe65525f3, 0xaa55ab94, 

13 Oxb4cc5c34, 0x1141e8ce, 

14 Ox?ba9c55d, 0x741831f6, 

15 0x7a325381, 0x28958677, 

16 Ox6ldB09cc, Oxfb21a991, 

17 Oxdc262302, Oxeb651b88, 

18 Ox2e004482, 0xa4842004, 

19 Ox670c9c6l, Oxabd388f0, 

20 Oxéeefdbéc, Ox137a3be4, 

21 Ox66ca593e, 0x82430e88, 

22 Oxe06£75d8, 0x85c12073, 

23 Oxlbfedf]2, 0x4295023d, 

24 0x075372c9, 0x80991b7b, 

25 0x976ce(bd, 0x04c006ba, 

26 Ox68fb6faf, Ox3e6c53b5, 

21 Oxcc814544, OxafSebd09, 

28 OxcOcha857, 0x45c8740f, 

29 Oxdéal00c6, 0x402c7279, 

30 0x3c7516df, Oxfd6168015, 

31 0x53317048, 0x3e00d£82, 

2 Oxd542a8f6, Ox287effc3, 

33 Oxelffa35d, Oxb8f0lla0, 

34 0x9a53e479, Oxb6f84565, 

3 Ox€2fb1341, Oxcee4cée8, 

36 Ox95dbda4d, Oxae909198, 

37 0x8e3c5b2f，0x8e7594b7, 

38 Ox4fadbea0, Ox688fc3lc, 

39 Oxea752dfe, Ox8b021fal, Oxe5a0ccOf, 
40 Oxb4a84fe0, Oxfdl3e0b7, Ox]cc43081, 
41 0x93cc7314, 0x211a1477, Oxe6ad2065, 
42 Oxebodaf0c, Ox7b3e89a0, Oxd6411bd3, 
43 0x226800bb, Ox57b8e0af, 0x2464368b, 
44 0x78c14389, Oxd95a537£, Ox207d5ba2, 
45 Ox11c81968, 0x4e734a41, Oxb3472dca, 
46 Oxd60£573£, Oxbc9bc6e4, Ox2b60a476, 
47 Oxf296ecGo, Ox2a0dd915, 0xb6636521, 
48 OxSab02d5d, Oxa99f8fal, Ox08ba4799, 
49 {0x4b7a70e9, 0xib5532944, 0xdb75092e, 
50 Ox90ee60b8, Ox8fedb266, OxecaaBc7l, 
51 0x193602a5, 0x75094c29, 0xa0591340, 
52 Oxéb8fe4d6, 0x99f73fd6, Oxald29c07, 
53 Ox4cdd2086, 0x8470eb26, 0x6382e9c6, 
54 Ox3c971814, OxGo6a70al, 0x687£3584, 
55 Ox3e07841c, Ox7fdeae5c, OxBe7d44ec, 


OxbS6£74e8, Ox18acf3d6, Oxoe89e299, 
Oxd2ada8d9, 0Χ16568266, 0x80957705, 
OxTIb5fa86, Oxc75442f5, Oxfb9d35cf, 
Oxaele7e49, 0x00250e2d, 0x2071b35e, 
Oxf009b9le, Ox55639lld, Ox59dfa6aa, 
Ox02e5b9c5, 0«83260376, Ox6295cfa9, 
Ox7bl4a94a, Ox1b510052, 0x9a532915, 
0x81e67400, Ox08ba6fb5, 0x571be91f, 
Oxe7b9fdo6, Oxff34052e, Oxc5855664, 
Ox6e85076a}, 

0xc4192623, Oxadéeaéb0, 0x49a7df7d, 
Ox699al7ff, 0x5664526c, Oxc2b1%eel, 
0xe4183a3e, 0x3f54989a, 0x5b429065, 
Oxefe830f5, Ox4d2d38e6, Oxf0255dcl, 
0x021ecc5e, Ox09686b3F, Ox3ebaefc9, 
0x52a0e286, Oxb79c5305, 0xaa500731, 
Ox5716f208, 0xb03ada37, Oxf0500c0d, 
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OxfOlclf04, 0x0200b3ff, OxaeOcfSla, 0300517402, 0x25837a58, OxdcOS?lbd, 
0xd19113f9, Ox7ca92ff6, 0x943247]3, Ox22f54701, 0x3ae5e581, 0x37c2dadc, 
Oxc8b57634, Ox9af3dda7, 0xa9446146, OxOfd0030e, Oxecc8c73e, Oxa475le4l, 
Oxe2380d99, Ox3bea0e2f, Ox3280bbal, 0x183b331, 0x4e548038, 0x4f6db908, 
Ox6£420d03, Oxf60a04bf, 0x2cb81290, 0x24977c79, 0x56795072, Oxbcaf89af, 
Oxde9a771f, Oxd9930810, 0xb38bael?, Oxdocf3f2e, 0x5512721f, 0x2e857124, 
0x7a584718, 0x7408dal7, Oxbc9f9abc, Qxe94b7d8c, 
OxecTaec3a, Oxdb85ldfa, 0x63094366, Oxc464c332, Oxeflcl847, 0x3215d908, 
Oxcii433037, 0x24c?bale, 0x12a14d43, 0x2a65c451, 0x50940002, 0x133ae4dd, 
Ox7ldff89e, 0x10314e55, Ox8lacT7d6, Ox5£1119%, Ox043556fl, Oxd/a3c76b, 
Ox3clll83b, 0x5924a509, Oxf28fe6ed, Ox97flfbfa, Ox9ebabf2c, Oxlel53cte, 
0x86e34570, Oxeae9¢fbl, Ox860e5e0a, Ox5a3e2ab3, OxT71fe7lc, Ox4e3d06fa, 
Ox2965dd59, 0x99e71d0f, 0x803e89d6, 0x5266c825, 0x2e40c978, 0x9cl0b36a, 
Oxc6150eba, 0x94e2ea78, Oxa5fc3c53, Oxle0a?df4, Oxf2f74ea7, 0x36ld2b3d, 
70 0x1939260f, Ox19c27960, 0x5223a708, 0xf71312b6, Oxebadfe6e, Oxeac31f66, 
Oxe3bc4595, Oxa67bc883, 0xb17f37d1, OxO18cff28, Oxc332ddef, Oxbe6c5aa5, 
0x65582185, Ox68ab9802, Oxeecea50f, Oxdo?f953b, Ox2aef dad, Ox5b6e?f84, 
79 Ox1521b628, 0x29076170, Oxecdd4775, 0x619£1510, 0813009830, Oxeb6lbd96, 
74 0x0334fele, Oxaa0363cf, 0xb5735c90, 0x4C70a239, Oxd59e9e0b, Oxcbaadel4, 
75 Oxeecc8Goc, 0x60622ca7, Ox9cab5cab, 0xb2f3846e, Ox648bleaf, OxldodfOca, 
76 0xa023699, 0x655abb50, 0x40685a32, Ox3c2ab4b3, 0x319ee9d5, 0xc021b8f7, 
ΤΙ Ox9540b19, 0x875£a099, Ox95f7997e, 0x623d7da8, Oxf837889a, Ox97e32dT7, 
78 Oxlled935£, Ox16681281, 0x0e358829, Oxc7e6lfde, Ox96dedfal, 0x7858ba99, 
Ox57f£584a5, Ox15227263, Ox9b83c3ff, Oxlac?4696, Oxodb30aeb, 0x532e3054, 
80 Ox8fd948e4, Ox6dbc3128, Qx58ebf2ef, Ox34c6ffea, Oxfe28ed6l, Oxee7c3c73, 
Ox5d4al4d9, Oxe864b7e3, 0x42105d14, 0x203e13e0, Ox45eee?b6, Oxa3aaabea, 
Oxdb€éc4£15, Oxfacb4fdO, 0xc742f442, Oxef6abbb5, Ox654f3bld, 0x41o32105, 
Oxd81e799e, Ox86854dc7, 0xe44b476a, 0x3d816250, Oxcf62alf2, Ox5b8d2646, 
Oxfc8883a0, Oxclc706a3, 0x7£1524c3, Ox69d57492, 0x47848a0b, 0x5692b285, 
Ox095Hbf00, Oxadl9489d, Qx1462b174, 0x23820e00, 0x58428d2a, Ox0c55f5ea, 
Oxldadf43e, 0x233£7061, 0x3372£092, Ox8d937e41, OxdéSfecfl, Ox6c223bdb, 
Ox7o0de3759, Oxcbee7460, 0x4085£2a7, Oxce77326e, 06078084, Ox19f8509e, 
Oxe8efd855, 0x61d99735, Oxa969a7aa, Oxc50cO06c2, OxSa04abfic, OxS00bcadc, 
Ox9e44]a2e, 0xc3453484, Oxfdd56705, Ox0ele9ec9, Oxdb73dbd3, 0x105588ed, 
Ox675fda79, 0xe3674340, OxcSc43465, 0x713e38d8, 0x3d28f89e, Oxfledff20, 
Ox153e21e7, Ox8fb03d4a, Oxe6e39£2b, Oxdb83adf7}, 

{0xe93d5a68, 0x948140f7, 0xf64c261c, 0x94692934, 0%411520£7, 0x7602d4£7, 
Oxbcf4do»e, Oxd4a20068, 0x34082471, 0x3320f46a, 0x43p7d4b7, Ox50006laf, 
Oxle39fG?e, 0x97244546, 0x14214f74, Oxbf8b8840, Ox4d95fcld, 0498059186, 
Ox70f4ddd3, Ox66a02f45, OxbfbcOSec, 0039439785, Ox7facédd0, 0x31cb8504, 
Ox96eb27b3, Ox55fd3941, Oxda2547e6, Oxabca0a9a, 0x28507825, 0x530429f4, 
Ox0a2c86da, Oxegdb66dfb, Ox68dcl462, 0xd7486900, 0x680ec0a4, 0x27al8dee, 
Ox4f3ffea2, Oxe887ad8c, Oxb58ce006, Ox7af4déb6, Oxaacele7c, 0xd3375fec, 
Oxce78a399, 0x40d:2a42, Ox20fe9e35, Oxd9F385b9, Oxee39d7ab, 0x3b124e8b, 
Oxldc9faf], Ox4b6dl856, 0x26a36631, Oxeae397b2, Ox3a6efa74, Oxdd5b4332, 


82882052989 8 3 


8 
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101 
102 
103 
104 
105 
106 
107 
108 
109 


110 
11 
112 
113 


114 
115 
116 


Ox6841e7£7, Oxca7820fb, Oxfb0af4e, Oxd8feb397, 0x454056ac, Oxba489527, 
0x55533a3a, 0x20838d87, OxfeGoa9b7, Oxd096954b, 0x55a867bc, 0xall59858, 
Oxcca92963, 0x99e1db33, OxaG2a4a56, Ox3f3125f9, Ox5ef47elc, Ox90293l7c, 
Oxfdf8e802, 0x04272F70, Ox8übbl55c, 0x052820e3, 0x95c11548, Oxe4c6622, 
Ox48c1133f, Oxc70f86dc, Ox07f9c9ee, Ox41041fOf, 0%404779a4, Ox5d886el7, 
Ox325f5leb, Oxd59bcOdl, Oxf2bccl8f, 0x41113564, 0x25757834, 0x602a9c60, 
Oxdff8e8a3, Oxlfé36clb, Ox0el?b4c2, 0x02e1329e, Oxaf664fdl, Oxcadl8115, 
0x@2395e0, 0x333e92e1, 0x3b240b62, Oxeebeb9?2, 0x85b2a20e, OxeG»a0d99, 
Oxde720c8c, Ox2da?f728, Oxd0127845, 0x95b794fd, 0x647d0862, OxeTocf5f0, 
0x5449a36f, ΟΧΒΤΙάΑΒΕΑ, Oxc39dfd27, Oxf33e8dle, 0x0a476341, 0x992eff74, 
Ox3a6f6eab, Oxf4f8fd37, Oxa812dc60, Oxalebddf8, Ox99I1bel4c, Oxdb6ed»0d, 
Oxc67b5510, 0x6d672c37, 0x2765d43b, OxdodOe804, Oxf1290dc7, Oxcc00ffa3, 
Oxb5390£92, Ox690fedOb, Ox667b9ffb, Oxcedb7d9c, Oxa091cfüb, 0xd9155ea3, 
0090132468, Ox515bad24, Ox7b9479bf, Ox763od6eb, 0x37392eb3, 0xcc115979, 
0x8026e297, Oxf42e312d, 0x6842ada7, Oxc66a2b3b, Ox12754ccc, Ox]82efllc, 
0x6a124237, 0xb79251e7, Qx06albbeé6, 0x45f56350, 0xlaG51018, Oxllcaedfa, 
Ox3d25bdd8, Oxe2elc3c9, 0x44421659, 0x0a121386, Oxd90cec6e, Oxd5abea2a, 
Oxé4afé74e, Oxda86a85f, Oxbebfe988, Ox64e4c3fe, Ox9dbc8057, Oxf0£7c086, 
Ox60787b£8, 0x6003604d, Oxdlfd8346, Oxf6381fb0, 0x7745ae04, Oxd736fcoc, 
0x83428533, OxfOleab71, 0xb0804187, Ox3c005e5f, OxT7a057be, Oxbde8ae?4, 
0x55464299, Oxbf582e61, Ox4e58f48f, Oxf2ddfda2, Oxf474ef38, Ox8789bdc2, 
Ox5366£9C3, Oxc8b38e74, Oxb475£255, Ox46fod9b9, Ox7aeb?66l, OxBblddf84, 
0x846a0e79, Ox915f95e2, 0x466e598e, 0x20b45770, 0x8cd55591, Oxc902de4c, 
Oxb90bacel, OxHb8205d0, 0x11a86248, 0x7574a99e, Oxb77£196, Oxe0a9dc09, 
0x662d0%1, 0xc4324633, Oxe85alf02, Ox09fObeSc, 0x4a99a025, Oxldéefel0, 
Oxlab93dld, OxOba5a4df, OxalS6f20f, Ox2868f169, Oxdcb7da83, 0x573906fe, 
Oxale2ce9b, Ox4fod7f52, 0x50115e01, Oxa70683fa, Oxa002b5c4, 0x0de6d027, 
Ox9af88c27, Ox773£8641, Oxc3604c06, Ox61a808b5, Oxf0177a28, OxcOf586e0, 
0x006058aa, Ox30dc7d€2, Oxlle69ed7, 0x2338ea63, Ox53c2dd94, Oxc2c21634, 
OxtiocheeS6, Ox90bdbéde, Oxebfic7dal, Oxoe591d76, Ox6f05e409, 0x457c0188, 
0x39720a3d, 0x7c927c24, 0x86e3725f, Ox]24d9do9, OxlaclShb4, Oxd39eb8fc, 
Oxed545578, Ox08fca*b5, Oxd83d7od3, Ox4dadOfc4, Oxle50ef5e, Oxbl6le6f8, 
0xa28514d9, Ox6c51133c, Ox6fd5c7e7, 0x56el4ec4, Ox3€2abfoe, Oxddc6c837, 
0xd79a3234, 0x92638212, 0x670efa8e, 0x406000e0), 

(0x3a390e37, Oxd3faf5cf, Oxabc27737, OxSacS2dlb, Ox5cb0679e, 0x4fa33742, 
0x33822740, Ox99bcUbbe, Oxd5118e9d, Oxbf0f7315, 0xd62d1c7e, 0xc700c47b, 
Oxtb78clbéb, 0x21a19045, Oxb26eblbe, Ox6a366eb4, 0x5748ab2f, Oxbc946e79, 
Oxc6a376d2, Ox6549c2c8, Ox530ff8ee, 0x468dde7d, Oxd5730ald, 0x4od04dc6, 
0x2939bbdb, Oxadba4650, Oxac9526e8, Oxbe5ee304, Oxalfad5f0, Ox6a2d519a, 
Ox63ef8ce2, Ox9a86ee22, Oxc089C2b8, 0x43242ef6, Oxa5le03aa, Ox9cf2d0a4, 
Ox83c06lba, Ox9be96a4d, Ox8fe51550, Oxba645bde, 0x2826a2f9, Oxa73a3ael, 
Ox4ba99586, Oxef5562e9, Oxc72fefd3, Oxf752f]da, Ox3f046f69, OxT7fa0a59, 
Ox80e4a915, Ox87b08601, Ox9b09eGad, Ox3b3ee593, Oxe990fdba, Ox9e34d797, 
Ox2cfüb7d9, Ox027b8b51, Ox96d5ac3a, 0x017da67d, Oxdlcf3ede, Ox7c7d2d28, 
Oxlf9f25cf, Oxadf2b89b, OxSadeéb472, Ox5a88f54c, Oxe029ac71, 0xe019a5e6, 


169 
170 


172 
173 
174 
175 
176 
17 


Ox47b0acfd, Oxed93fa%, Oxe8d3c48d, 0x283b57cc, 
0x785£0191, Oxed756055, Oxf7960e44, Oxe3d35e8c, 
0x03a16125, Ox0564fübd, Oxc3eb9e15, 0x3c9057a2, 


OxlIb3£6d%, 
0x03563482, 
Ox4de81751, 
0x5121ce64, 
Oxa2ae0810, 


Oxle6321f5, 
Ox8aba3chb, 
0x3830dc8e, 
0x774fbe32, 
Oxcdédo??4, 


Oxf8d56629, 
Qx150563a4, 
0x9727laec, 
0x7533d928, 
Qxabcc5167, 


Oxf59c66fb, 0x26dcf319, 
0x28517711, Oxc20ad9f8, 
0x37935862, 0x9320f991, Oxea7a90c2, 
OxaBb6e37e, 0xc3293d46, 0x48de5369, 
Ox69852dfd, 0x09072166, 0xb39a460a, 


0x79132e28, 
Ox88f46doa, 
(xa93a072a, 
Qxb155fdf5, 
Oxccad925£, 
Oxfb3eTbce, 
0x6413e680, 
0x6445c0dd, 


Ox586cdecf, Oxlc20c8ae, OxShbef7dd, Ox1b588340, Oxcod2017£, Oxédb4e3hb, 


Oxdda2¢a7e, 
Ox8d66122e, 
0x740e0d8d, 


Ox3a59ff45, 
Oxb£3c6£47, 
027961357, 


0x3e350a44, Oxbcb4odd5, 0x72eacea8, 
Oxd29e463, 0x542f5d9e, Oxaec2771b, 
Oxf8721671, Oxaf537d5d, 0x4040d508, 


Oxfa6484Hb, 
Oxf64e6370, 
Ox4eb4e2cc, 


Ox34d2466a, 0x0115af84, Oxe1b00428, 
Ox6f3f3082, Ox3500ab82, OxOllald4b, 
04037920, 0x344525bd, 0xa08839e1, 
OxeOloc87e, Oxbcc/dlf6, OxcfOlllc3, 
OxdOdadedo, Oxd50ada38, 0x0339c32a, 
Ox£7925957, Ox43f5bb3a, Oxf2d5loff, 
OxOf9lfC7l, 0x95941525, Oxfae59361, 
Oxb€écl075e, 0xe3056a0c, 0x10d25065, 
Ox4c98aNbe, 0x3278e964, Ox9f1f9532, 
Ox1b0a7441, 0x4ba3348c, Oxc5be7120, 
Oxe60b6f47, Ox0fe3flld, Oxe54oda54, 
0Χ16182166, Oxfd2cld05, 0x848fd2c5, 
0x93a83531, 0x56ccod02, Oxacf081€2, 
Oxde966292, 0x81b94930, 0x4c50901b, 
0x45e1d006, Oxc3f27b9a, Oxc9aa53fd, 
0x71126905, 03132040222, Oxb6docfIc, 
Ox38akbd60, 0x2547ad£0, Oxba38209c, 
Ox85dofe4e, Ox8ae88dd8, 0x7aaaf%0, 
Ox01c36ae4, Oxdéebelf9, Ox90d4f869, 
Oxb74e6132, OxceT]e25b, Ox578fdfe3, 


0x95983ald, Ox0Gb89fb4, 
0x277227£8, Ox611560b1, 
Ox51oe794b, Ox2£32c957, 
Oxale8aac7, 0x1a908749, 
0xc6913667, Ox8d£9317c, 
0x27d9459c, Oxbf97222c, 
Oxoeb69oeb, 0xc2a86459, 
Oxch03a442, 0xe0ec6e0e, 
OxeOd392df, Oxd3a0342b, 
0xc3763238, Oxd£359f8d, 
Oxledad891, 0xoe6279cf, Oxod3e7e6f, 
Oxf6fb2299, Oxf523£357, 0Χ86327623, 
OxSa75ekb5, 0x6e163697, 0x88d273cc, 
Ox71c65614, OxeécécTbd, 0x327a140a, 
Ox€2a80£00, Oxbb25bfe2, Ox35bdd?f6, 
Oxod769c2b, 0x53113ec0, Ox1640e333, 
Oxf7460876, OxTlafalc5, 0x20756060, 
Ox4cf9aa7e, Ox1948c25c, 0x02fb8a8c, 
Oxa€5odea0, 0x3£09252d, Oxc208e€9f, 
0x3ac372e6}}; 


Oxce6ea048, 


Ox1698do3b, 
0x8971£21e, 
0x9992f2e, 


根据 加 密 密 钥 生成 子 密 钥 P 和 5 盒 的 具体 过 程 见 程序 清单 7-6. 
程序 清单 7-6 


Ol void Blowfish: :init (unsigned char * key, int keyLength) 


o í 


98958828 


int i,j,k; 
word32 data,dataL,dataR; 
for (i=0;i< 4;i++) 
{ 
for (j= 0;j< 256;j++) 
{ 


sBox [i] [j]- originSBox [i] [j]; 
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1 ) 

12 10; 

13 for (i= 0;i< 18;i+ + ) 

14 { 

15 data= 000000000; 

16 for (k= 0;k« 4;+ + k) 

17 { 

18 data (data<< 8) | key[j]; 
19 j=j+1; 

20 if (j> = keyLength) 
21 { 

22 7-0; 

23 } 

24 } 

25 P[i]- originP[i]^data; 

26 } 

2 datal= 0x00000000; 

28 dataR- 0x00000000; 

29 for (i= 0;i« 18;i+ -2) 

3 t 

3l encryption (&dataL, &dataR) ; 
2 P[i]= dataL; 

33 P[i+ 1]= dataR; 

3 ) 

35 for(i-0;i« 4;* + i) 

36 t 

37 for (j= 0;j« 256;j+ - 2) 

38 { 

39 encryption (&dataL, &dataR) ; 
40 sBox [i] [j]=dataL; 

41 sBox[i] [j+ 1]= dataR; 
42 } 

43 } 

4 } 


初始 化 函数 init() 的 参数 为 输入 密 钥 和 密 钥 长 度 。 代 码 行 第 5 行 到 第 11 行 是 初始 化 S 
盒 , 将 常量 S 盒 的 值 赋 给 具体 计算 用 的 S 盒 , 代 码 行 第 13 行 到 第 34 行 是 计算 实际 加 密 和 解 
密 用 的 子 密 钥 P, 第 18 行 代码 是 按 字 节 将 输入 的 密 钥 填充 到 data. data 是 32 位 数据 ,每 次 
填充 8 位 ,填充 的 方法 是 采用 “| ?运算 ,在 填充 完 一 个 字 节 之 后 ,将 data 右 移 8 位 ,再 进行 下 
一 个 字 节 的 填充 ,直到 32 位 数据 全 部 填充 完毕 。 在 计算 过 程 中 输入 的 初始 密 钥 是 循环 使 用 
的 ,第 20 行 到 第 23 行 代码 用 于 处 理 输入 密 钥 的 循环 使 用 , 当 使 用 了 最 后 一 个 密 钥 后 ,又 从 
第 一 个 输入 密 钥 开始 重复 使 用 输入 密 钥 。 第 29 行 到 第 34 行 代码 是 子 密 钥 计算 过 程 的 最 后 
一 步 , 在 这 步 计 算 中 得 到 的 dataL 和 dataR 将 用 于 S 盒 的 计算 。 代 码 行 第 35 行 到 第 43 fT 
是 计算 实际 加 密 或 解密 用 的 S 盒 。 整 个 过 程 完 成 计算 实际 加 密 和 解密 用 的 子 密 钥 P 和 
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58. 
7.2.3 程序 测试 


程序 测试 通过 主 函 数 驱 动 测试 函数 Test() 来 完成 ,测试 函数 Test() 的 代码 见 程序 清 
单 7-7。 


程序 清单 7-7 
Ol void Blowfish: :Test () 
a { 
03 ofstream out ("test .cut") ; 
04 word32 I= 23, R- 43; 
05 out«« "The PlainText are:"<< endl; 
06 out<< "L= "<< hex«« I«« endl; 
07 out«« "R= "<< hex«« R<< endl; 
08 encryption (&L, &R) ; 
09 out«« "The enCipherText are:"«« endl; 
10 out<< "L= "<< hex«« I«« endl; 
u out<< "R= "<< hex<< R<< endl; 
12 decryption (&L, &R) ; 
13 out«« "The deCipherText are:"<< endl; 
14 out<< "T= "<< hex<< I«« endl; 
15 out<< "R= "<< hex«« R<< endl; 
16 } 


测试 函数 主要 完成 输入 明文 .加密 、 输 出 密 文 .解密 ,输出 解密 后 的 数据 ,测试 得 到 的 结 
果 输 出 到 文件 “test. out”, 在 本 测试 用 例 中 只 是 对 两 个 32 位 的 输入 数据 进行 简单 的 测试 ,在 
具体 使 用 中 可 以 通过 从 文件 中 读 取 数 据 , 然 后 再 进行 加 密 和 解密 的 方式 进行 处 理 。 

测试 函数 通过 主 函 数 驱 动 , 主 函数 见 程 序 清单 7-8。 


程序 清单 7-8 
0l intmain() 
a2 { 
03 Blowfish bf; 
04 bf. init ( (unsigned char* )"TwoFish",7); 
05 bf. Test () ; 
06 retum 0; 
o7 } 


主 函数 主要 完成 构造 Blowfish 类 的 对 象 . 调 用 初始 化 函数 并 传递 密 钥 和 密 钥 长 度 、 调 
用 测试 函数 。 测 试 结果 如 下 : 


The PlainText are: 
I=17 

R-2b 

The enCipherText are: 
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T= 3032da2c 

Re 3480412 

The deCipherText are: 

I-17 

R-2b 

经 过 解密 后 的 数据 与 输入 的 明文 一 致 ,该 程序 测试 的 数据 时 直接 将 明文 分 为 左右 各 半 
进行 处 理 , 即 加 密 的 数据 是 两 个 32 位 的 word32 型 数据 ,在 输出 数据 时 使 用 的 是 十 六 进 制 
格式 的 数据 , 若 直 接 输入 64 位 数据 或 输入 字符 只 需要 进行 相应 的 转换 即 可 。 


7.3| 习题 与 实践 题 


7.3.1 习题 


1. 简要 说 明 Blowfish 加 密 算 法 的 加 密 和 解密 的 基本 过 程 。 
2. 简要 说 明 Blowfish 加 密 算法 中 的 F 函数 运算 的 基本 原理 ,并 用 示例 说 明 。 
3. 简要 说 明 Blowfish 加 密 算法 的 密 钥 生 成 过 程 。 


7.3.2 实践 题 


参考 7. 2 节 的 Blowfish 算法 的 实现 过 程 , 完 成 Blowfish 加 密 算法 ,要求 : 待 加 密 消息 
从 文件 中 读 取 ,加 密 后 的 消息 存储 到 对 应 的 文件 ,解密 后 的 消息 存储 到 相应 的 另 一 个 文件 。 


CAST - 128 $3 3 


CAST 算法 是 一 系列 算法 ,目前 主要 有 CAST-128 和 CAST-256 两 种 算法 。CAST 算 
法 是 由 加 拿 大 Queen 大 学 的 Carlisle Adams 和 Stanfford Tavares 设计 的 ,因此 该 算法 以 
CAST 命名 ,后 期 的 改进 工作 主要 由 Carlisle Adams 和 Michael Wiener 来 完成 。 

CAST 算法 也 是 Feistel 结构 的 分 组 密码 算法 ,对 于 微分 密码 分 析 和 线性 密码 分 析 等 具 
有 较 好 的 抵抗 性 。 


8.1 CAST-128 算法 原理 


CAST-128 加 密 算法 的 输入 是 64 位 明文 ,加 密使 用 的 密 钥 长 度 通常 为 128 位 ,输出 的 
密 文 为 64 位 。CAST-128 加 密 算法 的 基本 过 程 如 图 8-1 明文 
所 示 。 
在 CAST-128 算法 中 用 到 的 {Kw , Κι } 是 轮 密 钥 , 轮 1 
密 钥 是 通过 输入 的 密 钥 计算 获得 。 通常 CAST 加 密 的 轮 
数 为 16 轮 。 


8.1.1 CAST-128 算法 的 加 密 过 程 


假设 输入 的 64 位 明文 用 mms…me: 表 示 , 输 入 的 密 
钥 用 K = ky ky + kiz 表示 ,输出 的 密 文 用 ccs οι 表示， 
CAST-128 加 密 算法 的 加 密 过 程 可 以 用 以 下 过 程 描述 : 

(1) 根据 输入 的 密 钥 计算 子 密 钥 对 {K。,K: ) , 子 密 钥 
Jt 16 对 ,分 别 用 于 16 轮 加 密 运 算 。 其 中 : K, 为 掩 码 子 
密 钥 ,K, 为 旋转 子 密 钥 。 

(2) 将 输入 的 明文 分 为 左右 两 半 为 Lo 和 Ro «Lo 为 输 
入 明文 的 高 32 位 , 即 Lo — m; +m, Ro 为 输入 明文 的 低 图 8-1 CAST-128 加 密 
32 位 , 即 Ro = mss ** Mes o 算法 基本 过 程 

(3) 进行 16 轮 加密 运 算 ,每 一 轮 的 加 密 运 算 的 过 程 见 公式 8-1. 

L, = Rea 
R, = Lia ^f Ri Ks, .K, ) 
(4) 将 最 后 一 轮 得 到 的 数据 进行 左右 交换 ,得 到 (Ris Lig) BD cics…ces。 


(8-1) 
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CAST-128 的 解密 过 程 与 加 密 过 程 一 样 ,但 使 用 子 密 钥 的 顺序 正好 相反 。 
在 16 轮 的 加 密 运 算 过 程 中 用 到 了 F 函数 ,F 函数 的 执行 过 程 如 图 8-2 所 示 。 


32 位 


图 8-2 下 函数 运算 过 程 示意 图 


CAST-128 加 密 算 法 的 下 函数 根据 加 密 轮 次 的 不 同 而 不 同 。 设 F 函数 的 输入 数据 为 
D“? “I” “I.”“Is” 为 数据 了 的 各 个 字 节 ,“ 二 二 二 ”表示 循环 左 移 , 那 么 有 三 种 F 函数 
如 下 : 
= (K, + D) <<< K, ) 


«SL ]^S:EL E D — SUI] Sila) 
I = (Ka, ^D) <<< K, ) 

类 型 2 (8-2) 
1m = (S LL ] SULD + SEED ^S L] 


I = (Ky, — D) <<< K,,) 


f = (S,[L,]+ SUD ”SLL — S14] 

对 于 第 1.4.7.10.13 和 16 轮 加 密 ,F 函数 采用 第 1 种 运算 。 

对 于 第 2、5、8、11 #l 14 轮 加 密 , 下 函数 采用 第 2 种 运算 。 

对 于 第 3.6.9.12 和 15 mE. F 函数 采用 第 3 种 运算 。 

CAST-128 算法 中 共有 8 个 S 盒 ,每 个 S 盒 的 大 小 为 256, 其 中 4 个 S 盒 用 于 加 密 算法 ， 
另 4 个 S 盒 用 于 密 钥 生成 。 

CAST-128 算法 的 解密 过 程 与 加 密 过 程 一 样 ,只 是 密 钥 的 使 用 顺序 与 加 密 过 程 中 密 钥 
的 使 用 顺序 相反 。 


8.1.2 CAST-128 算法 的 子 密 钥 生成 


CAST-128 算法 的 输入 密 钥 为 128 位 , 若 以 字 节 的 形式 表示 ,那么 输入 的 密 钥 可 以 表示 
JJ: x0x1x2x3x4x5x6x7x8x9xAxBxCxDxExF. 4k 16 个 字 节 。 


“πμ 
f= 


类 型 3 | 
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CAST-128 算法 的 密 钥 由 两 部 分 组 成 ,一 部 分 为 “ 掩 码 ” 密 钥 K。, 另 一 部 分 为 “旋转 ” 密 
484 K,, 每 一 轮 的 加 密 运算 使 用 一 组 密 钥 , 即 一 个 “ 掩 码 ” 密 钥 和 一 个 “旋转 ” 密 钥 ,因此 16 轮 
运算 共 需 要 32 个 密 钥 。“ 旋 转 ” 密 钥 实 际 上 就 使 用 密 钥 的 最 后 5 位 。 

i z0z1z2z3z4z5z6z7z8z9zAzBzCzDzEzF 为 计算 子 密 钥 用 的 16 个 字 节 的 临时 变量 ,那么 
密 钥 的 计算 过 程 如 下 : 


z0z1z2z3= x0x1x2x3 ^ S5[xD] ^ S6[xF] ^ S7[xC] ^ S8[xE] ^ S7[x8] 
24252627 x8x9xAxB ^ 55[20] ^ S6[z2] ^ S7[z1] ^ S8[z3] ^ S8[xA] 
28z9ZAZB= xCxDxExF ^ S5[z7] ^ S6[z6] ^ S7[z5] ^ S8[z4] ^ S5[x9] 
ZCZDzEZE- x4x5x6x7 ^ S5[zA] ^ 56[29] ^ S7[zB] ^ S8[z8] ^ Se[xB] 
Kl=S5[z8] ^ S6[z9] ^ S7[z7] ^ S8[z6] ^ S5[z2] 
K2=S5[zA] ^ S6[zB] ^ S7[z5] ^ S8[z4] ^ Se[z6] 
K3- S5[zC] ^ S6[zD] ^ S7[z3] ^ S8[z2] ^ S7[z9] 
K4- Sb[zE] ^ Se[zF] ^ S7[z1] ^ S8[z0] ^ S8[zC] 
XOxlx2x3- z8z9zAzB ^ S5[z5] ^ S6[z7] ^ S7[z4] ^ S8[z6] ^ S7[z0] 
x4x5x6x7= 20212223 ^ S5[x0] ^ S6[x2] ^ S7[x1] ^ S8[x3] ^ S8[z2] 
XBx9xAxB- z4z5z6z] ^ S5[x7] ^ S6[x6] ^ S7[x5] ^ S8[x4] ^ S5[z1] 


XCXDXEXE- zCzDzEZzF ^ S5[xA] ^ S6| 
K5- S5[x3] ^ S6[x2] ^ S7[xC] ^ S8 
K6- S5[xl] ^ S6[x0] ^ S7[xE] ^ S8 
K7- S5[x7] ^ S6[x6] ^ S7[x8] ^ S8 
K8- S5[x5] ^ S6[x4] ^ S7[xA] ^ S8 


κο] ^ S7[xB] ^ S8[x8] ^ Se[z3] 
XD] ^ S5[x8] 
xF] ^ Se[xD] 
[x9] ^ S7[x3] 
[xB] ^ S8[x7] 


z0z1z2z3= xOxlx2x3 ^ S5[xD] ^ S6[xE] ^ S7[xC] ^ S8[xE] ^ S7[x8] 
24252627= x8x9xAxB ^ S5[z0] ^ S6[z2] ^ S7[z1] ^ S8[z3] ^ S8[xA] 
z8z9zAzB= xCxDwExF ^ S5[z7] ^ S6[z6] ^ S7[z5] ^ S8[z4] ^ S5[x9] 
zCzDzEzF= x4x5x6x7 ^ S5[zA] ^ S6[z9] ^ S7[zB] ^ S8[z8] ^ S6[xB] 
K9- S5[z3] ^ S6[z2] ^ S7[zC] ^ S8[zD] ^ S5[z9] 
ΚΙ0- S5[z1] ^ Se[z0] ^ S7[zE] ^ S8[zF] ^ Sé[zC] 
Kll= S5[z7] ^ S6[z6] ^ S7[z8] ^ 58[29] ^ S7[z2] 
K12=S5[z5] ^ S6[z4] ^ S7[zA] ^ S8[zB] ^ S8[z6] 
xOxlx2x3- z8z9zAzB ^ 55[25] ^ S6[z7] ^ S7[z4] ^ 58[26] ^ S7[z0] 
x4x5x6x7= z0z1z223 ^ S5[x0] ^ S6[x2] ^ S7[x1] ^ S8[x3] ^ S8[z2] 
x8xOxhxB- z4z5z6z7 ^ S5[x7] ^ S6[x6] ^ S7[x5] ^ S8[x4] ^ S5[z1] 
XCXDXEXE- zCzDzEZF ^ S5[xA] ^ S6[x9] ^ S7[xB] ^ S8[x8] ^ S6[z3] 
K13-S5[x8] ^ Se[x9] ^ S7[x7] ^ S8[x6] ^ S5[x3] 
K14=S5[xA] ^ Se[xB] ^ S7[x5] ^ S8[x4] ^ Se[x7] 
K15= Sb[xC] ^ S6[xD] ^ S7[x3] ^ S8[x2] ^ S7[x8] 
Kl6-S5[xE] ^ S6[xF] ^ S7[x1] ^ S8[x0] ^ S8[xD] 
z0z1z2z3= x0x1x2x3 ^ S5[xD] ^ S6[xF] ^ S7[xC] ^ S8[xE] ^ S7[x8] 
2425262 = x8x9xAxB ^ S5[z0] ^ S6[z2] ^ S7[z1] ^ S8[z3] ^ S8[xA] 
z8z9zAzB= xCxDxExF ^ 55[27] ^ S6[z6] ^ S7[z5] ^ S8[z4] ^ S5[x9] 


ZCZDZEZE- x4x5x6x7 ^ S5[zA] ^ S6[z9] ^ S7[zB] ^ S8[z8] ^ S6[xB] 
κιη- S5[z8] ^ S6[z9] ^ S7[z7] ^ S8[z6] ^ S5[z2] 
K18-S5[zA] ^ Se[zB] ^ S7[z5] ^ S8[z4] ^ S6[z6] 
K19- S5[zC] ^ S6[zD] ^ S7[z3] ^ S8[z2] ^ S7[z9] 
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K20- 55[2Ε] ^ Se[zF] ^ S7[z1] ^ S8[z0] ^ S8[zC] 
xOxlx2x3- 28292AzB ^ S5[z5] ^ S6[z7] ^ S7[z4] ^ S8[z6] ^ S7[z0] 
x4x5xGx7- 20212223 ^ S5[x0] ^ S6[x2] ^ S7[x1] ^ S8[x3] ^ S8[z2] 
xBxOxAxB- 24252627 ^ S5[x7] ^ S6[x6] ^ S7[x5] ^ S8[x4] ^ S5[z1] 
XCXDXEXE- zCzDzEzF ^ S5[xA] ^ S6[x9] ^ S7[xB] ^ S8[x8] ^ S6[z3] 
K21- S5[x3] ^ S6[x2] ^ S7[xC] ^ S8[xD] ^ S5[x8] 
K22- S5[xl] ^ Se[x0] ^ S7[xE] ^ S8[xF] ^ S6[xD] 
X23- S5[x7] ^ S6[x6] ^ S7[x8] ^ S8[x9] ^ S7[x3] 
K24- S5[x5] ^ S6[x4] ^ S7[xA] ^ S8[xB] ^ S8[x7] 
z0z1z2z3= xOxlx2x3 ^ S5[xD] ^ Se[xF] ^ S7[xC] ^ S8[xE] ^ S7[x8] 
z4z5z6z1- x8x9xAxB ^ 55[20] ^ Se[z2] ^ 57[21] ^ S8[z3] ^ S8[xA] 
z8z9zAzB= xCxDxExF ^ S5[z7] ^ S6[z6] ^ S7[z5] ^ 58[24] ^ S5[x9] 
zCzDzEzF= x4x5x6x7 ^ S5[zA] ^ S6[z9] ^ S7[zB] ^ S8[z8] ^ Se[xB] 
K25= S5[z3] ^ S6[z2] ^ S7[zC] ^ S8[zD] ^ 55[29] 
K26- S5[z1] ^ Se[z0] ^ S7[zE] ^ S8[zF] ^ Sé[zC] 
K27- S5[z7] ^ S6[z6] ^ S7[z8] ^ S8[z9] ^ 57[29] 
K28- S5[z5] ^ S6[z4] ^ S7[zA] ^ S8[zB] ^ S8[z6] 
x0x1x2x3= 28292AzB ^ S5[z5] ^ S6[z7] ^ S7[z4] ^ S8[z6] ^ S7[z0] 
x4xSxGx7= 20212223 ^ S5[x0] ^ Se[x2] ^ S7[xl] ^ S8[x3] ^ 58[22] 
x8xOxhxB- 24257627 ^ S5[x7] ^ Se[x6] ^ S7[x5] ^ S8[x4] ^ S5[z1] 
XCKDXEXE- zCzDzEZF ^ S5[xA] ^ S6[x9] ^ S7[xB] ^ S8[x8] ^ 56[23] 
K29- S5[x8] ^ S6[x9] ^ S7[x7] ^ S8[x6] ^ S5[x3] 
K30- S5[xA] ^ S6[xB] ^ S7[x5] ^ S8[x4] ^ Se[x7] 
K3]= S5[xC] ^ S6[xD] ^ S7[x3] ^ S8[x2] ^ S7[x8] 
K32- S5[xE] ^ S6[xF] ^ S7[x1] ^ S8[x0] ^ S8[xD] 


将 获得 的 32 个 密 钥 分 成 两 部 分 ,K1 一 K16 HBH Ka, .K17—K32 W K, o 


8.2| CAST-128 算法 实现 


CAST-128 算法 的 实现 主要 包含 密 钥 生成 .加密 和 解密 以 及 数据 的 初始 化 , 密 钥 的 生成 
和 加 密 的 过 程 分 别 使 用 了 不 同 的 S 盒 。 在 加 密 过 程 中 根据 加 密 轮 次 的 不 同 使 用 了 不 同 F 
函数 。 

CAST-128 算法 的 实现 主要 有 以 下 过 程 : 

CD 初始 化 S 盒 和 密 钥 。 

(2) 计算 “ 掩 码 ” 密 钥 和 “旋转 ” 密 钥 。 

(3) 进行 加 密 和 解密 。 

在 程序 处 理 过 程 中 用 到 了 64 位 数据 .32 位 数据 和 8 位 数据 ,通过 相关 声明 来 处 理 不 同 
长 度 的 数据 以 方便 后 续 程 序 的 使 用 , 自 定义 数据 类 型 包括 : 

typedef unsigned char byte; 


typedef unsigned long word32; 
typedef unsigned long long wordé4; 


8.2 CAST-128 算法 实现 


这 些 数据 类 型 分 别 用 于 处 理 对 应 长 度 的 数据 。 
CAST-128 算法 实现 的 主要 类 的 结构 如 图 8-3 所 示 。 


CAST 128 
- x[16] : byte 
- roundKey[32] : word32 
- keyM[16] : word32 
- keyR[16| : word32 
- S[8][256] : static const word32 
- word32ToByte (word32 in, byte bln||. int position) : void 
+ getKey (byte keyIn[]) : void 
+ F(word32 in, word32 km, word32 kr, int round) : word32 
* encryprion (word64 in) : word64 
+ decryption (word64 in) : word64 


图 8-3 ΟΛΘΤ 128 类 的 基本 结构 


CAST_128 类 的 具体 声明 见 程 序 清单 8-1。 


程序 清单 8-1 
Ol class CAST 128 
a ( 
03 public: 
04 void getKey (byte keyIn[]); 
05 wordé4 encryption (wordé4 in); 
06 wordé4 decryption (wordé4 in); 
07 word32 F(word32 in,word32 km,word32 kr,int round); 
08 private: 
09 void word32ToByte (word32 in,byte bIn[],int position); 
10 byte x[16]; 
1 word32 roundKey [32] ; 
12 word32 keyM[16] ; 
13 word32 keyR[16] ; 
14 static const word32 S[8] [256] ; 
15 1 


ΤΕ CAST 128 类 中 : 字 节 型 变量 xL16] 用 于 存储 输入 的 密 钥 ,word32 型 变量 roundKey 
[32] 用 于 存储 计算 获得 的 轮 密 钥 , word32 型 变量 keyM[16] 用 于 存储 计算 获得 的 “ 掩 码 ? 密 
钥 , word32 型 变量 keyRL16] 用 于 存储 计算 获得 的 “旋转 ” 密 钥 ,word32 型 变量 SL8][256] 用 
于 存储 S G HR. PBL getKey() 用 于 获得 输入 的 密 钥 , 并 计算 加 密 密 钥 和 解密 密 钥 ,函数 
encryption() 用 于 加 密 输入 的 数据 ,函数 decryption() 用 于 解密 密 文 ,函数 F() 为 每 一 轮 计 
算 过 程 中 的 下 函数 ,函数 word32ToByte() 为 将 word32 型 数据 转换 为 4 个 byte 型 数据 。 


8.2.1 BAEK 


CAST 128 类 中 的 密 钥 生成 通过 函数 getKey() 来 实现 ,生成 的 过 程 由 三 部 分 组 成 : 获 
取 输 入 密 钥 、 计 算 轮 密 钥 、 计 算 “ 掩 码 " 密 钥 和 “旋转 ” 密 钥 , 密 钥 生成 的 具体 代码 见 程 序 清 


VA 


,124” ΒΒ CAST-128 算法 


单 8-2, 
程序 清单 8-2 
Ol void CAST 128::getKey (byte keyIn[]) 
oe { 
03 inti; 
04 for (i= 0;i« 16;i+ + ) 
05 { 
06 x[i]-keym[i]; 
07 } 
08 word32 keyx[4] ; // 用 于 计算 密 钥 的 word32 型 数据 
09 word32 keyZ[4]; // 用 于 计算 密 钥 的 word32 型 临时 数据 
10 byte z[16]; // 用 于 5433544 keyz 4) hit 
nu // 生 成 32 tu f fg A BAL , 共 4 个 
12 for (i= O7i< 4;i++) 
B { 
14 keyx[i]= (x[i* 4]«« 24) | (x[i * 4 1]<< 16) | (x[i * 44 2]<< 8) | (x[i 431) 
15 } 
16 // 第 1 轮 密 钥 计算 
11 kez [0]Ü=keyx[0] S[4] [x[13]] S[S] [κΠ5]1΄5[6] [x[12]]^S C7] (x[14]]^S 6] [x[8]]; 


18 word32ToByte (keyZ [0], z, 0) ; 

19 keyz[1]- key [2]^S[4] [z[0]]^S[5] [z(2] J^S[6] [z [11]^S 7] [23] ^7] [κ[10]}; 
20 word3?TcByte (keyZ [1], z, 1) 7 

31 keyz[2]- keyx[3]*S[4] [z(7]]^S(5] [z(6] ]^S[6] [z[51]^S(7] [z[4]] SI4] [x[9]]; 

2 word3?TcByte (keyZ [2] ,z,2) 7 

23 kyz B} keyx[1]^S(4] [z [10]] 'S[5] [z[9]] S[e] [z(11]]^S(7] Lz [8] ^S [9] (x C117 

24 word32TcByte (keyZ [3], 2, 3); 

25 roundkey [0]= S[4] [z [8] ]^S[5] [z [9] J^S[6] [2 [7]]^S 7] [2[61}΄514] [z [2]]; 

26 roundKey(1]- S[4] [z[10]]^S[5] [z 11]]^S [6] [z[5]] *S[7] [z(41]^S[51 [z [6] ]; 
roundKey[2]- S[4] [z [12] ]^S[5] [z 13] ]^S [6] [z [3]] *S[7] [z(21]^S [6] [z [9] 
roundKey[3]- S[4] [z [14] ]^S[5] [z 15] ]^S [6] [z[1]] *<S[7] [z[0]] “S[7] [z 221]; 
// 第 2 轮 密 钥 计 算 
keyx[0]= key2[2]^S[4] [z[5]]^S[5] [z[7]] S16] [z[41]^S(7] [216] ^SI6] [z[0]]; 
word32ToByte (keyX [0] ,x, 0) ; 
keyx[1]= key2[0]^S[4] [x[0]] “S[5] [κ[21}΄516] [xL11]^S 7] [x[31]^SU7] [z[2]]; 
word32ToByte (keyX [1], x, 1) ; 
keyx[2]- keyz[1]^S[4] [x[7]] “S[5] [x [6] ]^S[6] [κ[511΄5[] [x[4]] <S[4] [z 1]]; 
word32ToByte (keyX[?], x, 2) 7 
keyx[3]- keyz[3]^S[4] [x[10] J^S[5] [x[9]] <S[6] [x [11] J^SC7] [x[8]]^S [5] [z[3]]; 
word32ToByte (keyX [3], x, 3) 7 
roundKey[4]- S[4] [x[3]]^S [9] [x[2] ^S [6] [x 121]^S [7] [x [13] ]^S[4] [x [8117 
roundKey [5]- S[4] [x[11]^S [5] [x[0] ]^S [6] [x [14]^S [7] [x [15] ]^S [9] [x [131]; 
roundkey [6]- S[4] [x[7]]^S [5] [x [6] ]*S[6] [x [8] ^S [7] [x[91]^S [6] [x [3] ] 
round&ey [7]- S[4] [x[5]]^S [5] [x[41]^S [6] [x [10] ^S 7] [x [11]]^S[7] [x71]; 
// 第 3 轮 密 钥 计 算 
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8.2 CAST-128 算法 实现 


key [0] key [O]^S[4] [x[13] ]^S[S] [x[15]]^ST6] [x[12]^S[7] [εΠ41]΄5{6| [x [81]; 


word32ToByte (keyZ [0] , z, O) ; 
keyZ[1]= keyx[2]^S[4] [z[0] ]^S[5] [z [2] ]^ST6] [zI1! 
word32ToByte (keyz [1], z, 1) ; 
keyz[2]- keyx[3]^S[4] [z[7]]^S [5] [z [6] ]^S[6] [z [5 
word3?TcByte (keyZ [2], z, 2) ; 
keyz [3]- keyx[1]^S[4] [z [10] ]^S[S] [z [9] ]^ST6] [z [111] 
word32ToByte (keyZ [3], 2, 3) ; 
roundkey[8]= S[4] [z [3] ]^S[5] [z[2]]^S[6] [z 12 
roundKey[9]- 5[4] [z [1] ]^S [5] [z [0] J^S[6] [z 14 
roundKey [10]- S[4] [z[7]]*S[5] [z [6] ]^S[6] [z [8: 


rst) 


rst) 


ΤΠ 
Ys. 
Ys. 


[Iz [31]1^S[7] [x[10]]; 


BASIA [x[9]]; 


“sr7[z[8]] SS [x (11]]7 


Iz [13]]^S[4] [z[9]] ; 
[z[151]^S[5] [z[12]]; 
Iz [9]]^S[6] [z[2]]; 


roundkey[11]= S4] [2[511΄515] [2[4]]^S[6] [z[10]]^S [7] [2L11]]^S [7] [z [61]; 


// 第 4 轮 密 钥 计算 
keyx[0]= keyz(2]^S(4] [α[511΄ΒΙ5] [z[7]] <S[6] [z [4 
word32ToByte (keyX [0] , x, 0) ; 
keyx[1]= keyz[0]^S[4] [x0] ]^S[5] (x(2]]^S[6] [x1 
word32ToByte (key [1] x, 1) ; 
keyx(2]- keyz(1]^S(4] [x[7]] <S[5] (x(6]]^S [6] 区 [5 
word32ToByte (keyX [2] , x, 2) ; 


Yst7] 


rsm 


18/1 


keyx[3]= keyZ[3]*S[4] [x[10]]^S[5] [x[9]] *S[6] [x[11]]^S| 


word3?TcByte (keyX [3] jx, 3) 7 
roundKey[12]- S[4] [x[8]]^S[5] [x[9]]^S[6] [x7 
roundKey[13]- S[4] [x[10]]^S[5] [x[11] ]^S 6] [x 
roundKey[14]- S[4] [x[12] ^S [5] [x [13] ]^S 6] [x] 
rounckey[15]= 514] [x[14]]^S[5] [x[15] ]^S[6] [x1] 
// 第 5 轮 密 钥 计算 
key [0]= keyx[0]^S(4] [x[13]]^S(5] [x [15] JS[6] [x(12] 
word3?TcByte (keyZ [0] ,z, 0) ; 

keyz(1]- key«[2]^S[4] [z(0] ]^S[5] [z[2]] “S[6] [z 1 
word32ToByte (keyZ [1], z, 1) ; 

keyz[2]- key«[3]^S[4] [z(7]]^S[5] [z[6]]^S[6] [25 
word32ToByte (keyZ [2], z, 2) ; 

Xeyz [3])- eN SA [z[10]]^S [5] [z [9] ]^Sf6] (z (11]] 
word32ToByte (keyZ [3], z, 3) + 
roundKey[16]- S[4] [z[8]]^S[5] [z[91]^S[6] [z [7 
roundKey[17]- S[4] [z[10]]^S[5] [z [11]]^S [6] [z 
roundKey[18]- S[4] [z[12]]^S[5] [z [13]]^S [6] [z 
ran¥ey[19]= 8[4] [z[14]]^S[5] [z[15]]^S[6] [z [1] 
// 第 6 轮 密 钥 计算 

keyx[0]= keyz [2]^S[4] [z[5]] “SI5] [z[7]]^S[6] [z(4] 
word32ToByte (keyX [0], x, 0) ; 

keyX[1]= keyz[0]^S[4] [x[0] J^S[5] [κ[211΄5 [6] [x1] 
word32ToByte (keyx [1], x, 1) ; 
keyx[2]= keyz (1]^S[4] [x[7] ]^S[5] [x6] ]^S[6] [x 5] 
word3?TcByte (keyx [2], x, 2) ; 


l^st7 
5]]^s 
3118 
“sr 


rsm 


rst] 


15 
5115 
3115 
SIT. 


rst) 


rst 


Vs 


[2[6]1΄5|6] [z[0]]; 


BIS) [z2]]; 


BANSA [z(1]]; 


[7] [x[8] ]^S[S] [z[3]]; 


[κ[611΄514] [x[3]]; 


7] [x [411^S [SY [x 71]; 


17] [x [21]^S[6] [x [81] ; 
x [01]^S[7] [x[13]]; 


VSM (xD41]^s[6] [κ[8]}; 


[zG]] SC [zx[10]]; 


Iz[4]]^S4] [x[9]]; 


ΒΓ] [z[8]]^S(5] kA]; 


Iz[61]^S[4] [z[2]]7 
[7] [z[4]]^S[5] [z [6]]; 
[7] [z[2]]^S[6] [z [9]]; 
z[0]]^s7] -z22]]; 


[z[6]]^S(6] [z[0]]; 


Ες ΕΙ, 


(x[4]]*S(4] (201; 


125. 


2 126 第 8 章 CAST-128 算法 


88 keyx[3]= keyz[3]^S[4] [x[10]]^S[5] [x[9] ]^ST6] [x [11] ]^S[7] [x[8]]^S[S] [z[3]]; 
89 word3?TcByte (keyx [3], x, 3); 

90 rounckey [20]- S[4] [x[3] j^S[5] [x[2]]^S [6] [x [12] ]^S [7] [x [13]]^S [4] [x [81]; 
E! rouckey[?1]- S[4] [x[1]]^S[5] [κ[011΄5[6] [x [14] ]^S7] [x [15] J^S [5] [x[13]]; 

92 roundckey [22]= S [4] [x[7]]“S[5] [κ[611΄5[6] [x [8] ]^S[7] [x[9]]“S[6] [x[3]]; 
93 roundkey [23]- S[4] [x[5] ]^S[5] [x[4]]^S [6] [x[10] ]^S7] [x 11]]^S 7] [x C7]]7 


94 // 第 7 轮 密 钥 计 算 
95 keyz [0]=keyx[0] *S[4] [x [13] J^S 15) (x15) ]^S [6] (x C12] ^S] [x14] ^S T6] [x [8]]; 
96 word32ToByte (keyZ[0] , z, 0) ; 

91 keyZ[1]= keyx[2]^S[4] [z[0]]^S[5] [z(2] ]^S[6] [2 [1]]^S[7] [z[31]^SU7] [x[10]] 
98 word32ToByte (keyZ [1], 2,1) ; 

99 keyz[2]= keyx[3]^S[4] [2[7] ]^S[5] [z [6] ^S[6] [z[51]^S[7] [z[41]^S14] [x[9]]; 
100 word3?TcByte (keyZ [2], z, 2) ; 
101 key B eN SA [z 101] $S[5] [z[9]] 'S[6] (z(11]]^S(7] [z(8] J^S(9] [κΠ1}1; 
102 word32ToByte (keyZ[3],z,3) 7 
103 rounckey [24]- S[4] [z[3]]^S[5] [z [2]]*S [6] [zL12]]^S 7] [z [13]] *S[4] [z[9]] 
104 rounckey[25]= S[4] [z(1]]^S[9] [2[0] ]^S[6] (z[14] J^SU7] [z[15]]^S[5] (20121); 
105 rounckey [26]- S(4] (z[7]]^S[5] [z [6] ]^S[6] [z[8]] <S[7] [z [9] ^S 6] [z [2]]; 
106 rounckey [27]- S(4] [z [5] ]^S[5] [z [4]]*S [6] [z[10]]^S 7] [z(11]]^S(7] [z[6]]; 
107 // 第 8 轮 密 钥 计 算 
108 keyx[0]= keyz[2]^S[4] [2[5]]΄5[5] [27] J^S(6] [z[4]]^S(7] [z 6] ]^S(6] [z[0]]; 
109 word32ToByte (keyX [0] ,x, 0) 7 
110 keyx[1]=keyz[0] *S [4] [x[0] ]^S(5] [x[2] ^S(6] [κ[1}1΄5[Π] [x[3] J^SC7] [z[2]]; 
m word32ToByte (keyX [1] ,x, 1) ; 
112 keyx[2]=keyz[1] ΒΙΑ] [x[7]] S[5] [x[6] ^S(6] [x[5]] *<S[7] [x4] ]^S(4] [z1]]; 
113 word32ToByte (keyX[2],x,2) ; 
114 keyx[3]= keyz[3]^S[4] [x[10]] *SI5] [x[9]]^S[6] [x[11]] *S[7] [x[8]]^S(5] [z [3]]; 
115 word3?ToByte (keyX [3] ,x, 3) ; 
116 rouncKey [28]= S[4] [x[8] ]^S[5] [x[9]]*S [6] [x7] J^S7] [κ[611΄514] [x[3]] 
117 rounckey[29]= S[4] [x[10] J^S[5] [x[11]]^S[6] [x[5]] <S[7] [x[4]]^S[5] Ix[7]]; 
118 rounckey[30]= S[4] [κ[12}}΄5[5] [x[13]] <S[6] [x[3]] <S[7] [x[2]]^S[6] [x [8]]; 
119 rounckey[31]= 514] [x[14] J^S[5] [x[15]]^S 6] [x[1]]^S[7] [κ[011΄51Π} (x[13]]; 


120 for (i= 0;i< 16;i++) 

121 { 

122 keyM[i]- roundKey [1] ; 

123 keyR[i]- roundKey [i* 16] &Ox1F; 
124 ) 

125 } 


函数 的 参数 为 输入 的 密 钥 ,参数 类 型 为 byte 型 。 

程序 清单 8-2 中 的 第 4 行 到 第 7 行 是 将 输入 的 密 钥 转换 为 CAST_128 类 中 的 成 员 变 
量 , 这 部 分 内 容 也 可 以 省 去 ,在 后 续 的 密 钥 计算 过 程 中 也 可 以 直接 使 用 输入 的 密 钥 。 

变量 keyXL4] 是 将 输入 的 用 于 后 续 密 钥 计算 中 的 临时 变量 ,初始 时 是 将 输入 的 密 钥 以 
word32 型 数据 存储 输入 的 密 钥 ,代码 第 12 行 到 第 15 行为 具体 存储 的 过 程 ,存储 的 方式 如 
图 8-4 所 示 。 


8.2 CAST-128 算法 实现 


[ exo] | Κοχ | kexi | ex ] 


[ L I IT--T- 1 LI I] 
xO | x1 | x2 | x3 | x4 | xo | x6 | x7 | x8 | x9 |x10|x11 |x12| x13 | xi4|x15 


图 8-4 输入 密 钥 -计算 密 钥 数据 转换 示意 图 


例如 x0,xl,x2 和 x3 组 成 keyXL0], 组 成 方式 为 x0 左 移 24 位 “或 ”xl AB 16 位 “或 ” 
x2 左 移 8 位 “或 ”x3, 这 样 ,就 将 x1, x2. x3 和 x4 存放 到 keyXL0] 对 应 的 位 置 ,其 他 keyX 处 
理 的 方法 与 keyX[0] 处 理 的 方法 相同 。 通 过 图 8-4 的 方式 ,将 输入 的 16 个 字 节 型 密 钥 转换 
为 4 个 32 位 word32 型 数据 。 

轮 密 钥 的 计算 过 程 分 为 8 轮 , 第 1 轮 通过 keyX 计算 keyZ, 然 后 再 计算 轮 密 钥 ,第 2 轮 
通过 keyZ 计算 keyX, 然 后 再 计算 轮 密 钥 。 依 次 循环 直至 将 32 个 轮 密 钥 计算 完毕 。 在 计算 
过 程 中 用 到 将 32 位 的 word32 型 数据 分 解 为 8 位 byte 型 数据 ,分 解 过 程 正好 是 图 8-4 所 示 
过 程 的 逆 过 程 ,该 过 程 通过 函数 word32ToByte(word32 in. byte bIn[ ].int position) 来 实 
现 , 该 函数 的 详细 代码 见 程序 清单 8-3。 

程序 清单 8-3 


Ol void CAST_128: :word32ToByte (word32 in,byte bIn[],int position) 


03 bin [position κ 4]- (in> > 24) &OxFF; 
04 bIn[position * 4+ 1]- (in> > 16) &OxFF; 
05 bin [position * 4+ 2]= (in> > 8) &0xFF; 
06 bin [position * 4+ 3]= in&0xFF; 


函数 的 输入 为 word32 型 数据 的 输入 ,以 及 数据 处 理 的 位 置 ,输出 为 4 个 byte 型 数据 。 
实现 的 方法 是 通过 移 位 获得 。 

在 密 钥 计 算 完成 后 通过 程序 清单 8-2 的 第 120 行 到 124 行 代码 将 密 钥 转 换 为 “ 掩 码 ” 密 
钥 和 “旋转 ” 密 钥 。 由 于 “旋转 ” 密 钥 只 需要 使 用 最 后 5 位 ,因此 在 运算 过 程 中 通过 &0xlF 的 
方法 来 获得 最 后 5 位 数据 ,并 将 其 他 位 的 数据 置 为 *0”。 

在 密 钥 的 生成 过 程 使 用 的 S 盒 是 第 5 个 S 盒 到 第 8 个 S 盒 。 


8.2.2 加 密 和 解密 


CAST_128 类 的 加 密 算 法 通过 函数 encryption() 来 实现 ,函数 encryption() 的 具体 代码 
见 程序 清单 8-4。 


程序 清单 8-4 


Ol wordé4 CAST 128::encryption (wordé4 in) 
2 ( 

word32 L[17], R17], temp; 

L[0]- im > 32; 

R[0]- in&OxFFFFFFFF7 

inti; 
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07 
08 


10 


12 


13 ) 


for(ü-1;i«-16;i*-*) 

t 
R[i]-L[i- 1]^F(R[i- 1], keyM[i- 1],keyR[i-1],i); 
L[i]-R[i-1]; 

} 

retum (word64 (R[16])<< 32) IL[16]; 


加 密 函 数 的 参数 是 word64 型 数据 ,函数 的 返回 类 型 也 是 word64 型 。 函 数 是 实现 的 基 
本 过 程 是 : 将 输入 的 64 位 数据 分 割 成 两 部 分 ,各 为 32 位 数据 ,数据 分 割 通过 代码 行 第 4 行 
和 第 5 行 代码 完成 , 左 半 部 分 的 数据 直接 将 输入 右 移 32 位 获得 , 右 半 部 分 的 数据 将 输入 与 
OxFFFFFFFF 进行 “& ”运算 获得 ,在 分 割 完 成 后 ,通过 代码 行 第 7 行 到 第 11 行进 行 16 轮 
相同 的 加 密 , 最 后 将 得 到 的 数据 转化 为 64 位 数据 合并 输出 。 

CAST 128 类 的 解密 算法 通过 函数 decryption() 来 实现 ,函数 decryption() 的 具体 代码 


见 程 序 清单 8-5。 
程序 清单 8-5 
Ol word64 CAST 128::decryption (wordé4 in) 
0e ( 
03 word32 L[17],R(17]; 
04 L[16]- in> > 32; 
05 R[16]= in&OxFFFFFFFF7 
06 int i; 
07 for (i= 15;i> -0;i--) 
08 { 
09 R[i]-L[i* 1]^F(R[i* 1], keyM[i], keyR[i],i+ 1); 
10 L[i]=R[i+1]; 
1l } 
12 return (wordé4 (R[0])<< 32) IL[0]; 
B } 


解密 函数 的 参数 和 返回 类 型 都 是 word64 AY ΣΚ ἥν, PA 2 SE PL DE AS 11 ΡΕ 15 JI 26 ke H 
似 , 但 在 密 钥 的 使 用 顺序 上 正好 与 加 密 过 程 相反 ,在 解密 完成 后 将 最 后 一 轮 的 数据 合并 后 


输出 。 


在 加 密 和 解密 过 程 中 都 使 用 了 F 函数 .F 函数 是 加 密 和 解密 过 程 的 核心 。F 函数 的 具 
体 实现 过 程 见 程 序 清单 8-6. 


程序 清单 8-6 


ΟἹ word32 CAST 128::F(word32 in,word32 km,word32 kr, int round) 


a2 { 
03 
04 
05 
06 
07 


word32 f; //F 函数 的 值 
word32 I; // 计 算 用 临时 变量 
byte Ia, Ib, Ic, Id; 

Switch (round) 

{ 
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08 Case 1: 

09 case 4: 

10 case 7: 

11 case 10: 

12 case 13: 

B case 16: 

14 T= ((km* in)<< kr) | ((kmt in)>> (32- kr); 
15 Ia (I> > 24) &0xFF; 

16 Ib- (D> > 16) &OxFF; 

17 Ic- (I> > 8)&0xFF; 

18 Id- ΤΕΟΧΕΕ; 

19 f= ((S[0] [Ta]) ^S(1] [16]) - S(2] (1c]* 53] [Td]; 
20 break; 

a case 2 

2 case 5 

23 case 8: 

24 case 11 

25 case 14: 

26 I= ((m^in)«« kr) | ((απἼπ)»» (32- kr); 
2 Ia (I> > 24) &OxFF; 

28 Ib- (I> > 16) &OxFF; 

29 Ic- (I> 8) &0xFF; 

30 Id- ΤΕΟΧΕΕ; 

31 f ((S[0] [Ia]- S(1] [Tp])+s[2] [Ic])^S(3] [Πα]; 
z break; 

3 case 3 

34 case 6 

35 case 9: 

36 case 12: 

37 case 15: 

38 I= ((km- in)«« kr) | ((km- in)> > (32- kr)); 
39 Ia (I> > 24) &OxFF; 

40 Ib- (I> > 16) &OxFF; 

41 Ic- (D> > 8) δΟΧΕΕ; 

42 Id- ΤΕΟΧΕΕ; 

43 f ((S[0] [Ta]+ S(1] [Tp]) ^S[2] 1c1)- 503] Πα]; 
44 default: 

45 break; 

46 } 

47 retum f; 

48 } 


F 函数 的 参数 为 word32 型 的 输入 、 当 前 轮 次 的 “ 掩 码 ? 密 钥 .当前 轮 次 的 “旋转 ? 密 钥 和 
当前 加 密 或 解密 的 轮 次 ,下 函数 的 返回 值 类 型 也 是 word32 型 。 
下 函数 的 计算 方法 与 加 密 的 轮 次 相关 ,不 同 的 加 密 或 解密 轮 次 采用 不 同 的 计算 方法 , 例 
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如 第 14 行 到 第 20 行 是 针对 第 1.4、7、10、13 和 16 轮 时 使 用 的 计算 方法 ,第 26 行 到 第 32 行 
是 针对 第 2、5、8、11 和 14 轮 时 使 用 的 计算 方法 ,以 此 类 推 。 在 各 轮 的 计算 过 程 中 ,首先 通过 
输入 的 子 密 钥 对 和 计算 用 数据 (加 密 或 解密 数据 的 右 32 位 ) 计 算得 到 I, 然 后 将 工 按 字 节 进 
行 分 解 ,获得 4 个 字 节 ,分 别 为 Ia、Ib、Ic 和 1d, 这 4 个 字 节 通过 移 位 和 “&” 运 算计 算 获 得 ,最 
后 通过 Ia、Ib、Ic #l 14 确定 S 盒 的 数据 ,计算 得 到 f. 

在 下 函数 的 运算 过 程 中 使 用 了 循环 移 位 ,图 8-5 为 16 位 的 数据 循环 左 移 6 位 的 示 


意图 。 


(a) [xo [x1 [x2 [x3 [x4 [κο [x6 [ κῖ [x8 [9 [x10 [x1 [x2 [x13 [n4 [x18 


(b) [x6 [x7 [x8 [x9 [x10 [xti [xi2]xi3 [x4 [x5] o [0 [o [o [ o [| 0 


oS TSTS T2T9 ΚΚΕ T9 T3 T9 T3 T2 TS Tn 
CIF3EJEJEJEUBHEHESEDPHEJESEREJESE: 


图 8-5 循环 左 移 示意 图 


(a) 为 原始 输入 的 数据 ,x0,xl1,…',xl15 为 各 位 的 数据 ,将 输入 a 左 移 6 位 后 得 到 (b) ,将 
输入 a 碳 移 (16 一 6) 位 后 得 到 (c) ,将 (b) 和 (ec) 进行 “或 "运算 得 到 (a) 循 环 左 移 6 位 。 
在 下 函数 的 运算 过 程 中 使 用 的 S 盒 是 第 1 个 到 第 4 个 S 盒 。 


8.2.3 数据 初始 化 和 程序 测试 


数据 初始 化 主要 是 针对 S 盒 进 行 初始 化 ,程序 测试 可 以 通过 主 函 数 直 接 进行 测试 , 主 函 
数 代码 见 程 序 清单 8-7。 
程序 清单 8-7 


0l int main() 


a2 { 

03 CAST 128 cast 128; 

04 byte key[16]- (0x01, 0x23, 0x45, 0x67, 0x12, 0x34, 0x56, 0x78, 
05 0x23, 0x45, 0x67, 0x89, 0x34, 0x56, 0x78, Ox9A) ; 
06 cast 128.getKey (key) ; 

07 wordé4 in- 0x0123456789abodef ; 

08 cout<< "The plainText= "<< hex<< in<< endl; 

09 wordé4 cipher= cast 128.encryption (in); 

10 cout<< "The cipherText= "<< hex<< cipher<< endl; 

11 wordé4 plain- cast_128.decryption (cipher); 

12 cout«« "The decipherText= "<< hex<< plain<< endl; 

13 return 0; 

14 ] 

加 密 和 解密 测试 结果 如 下 。 

The plainText- 1234567898bodef 


The cipherText= 238b4fe5847e44b2 
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The decipherText= 123456789abadef 


S 盒 共有 8 组 ,每 组 256 个 数据 。0 一 3 组 用 于 F ARGS A ~7 组 用 于 各 轮子 密 钥 运 
S 盒 的 初始 化 见 程序 清单 8-8。 


程序 清单 8-8 


οι. const word32 CAST 128::S[8] [256]- { 

02 {0x30EB40D4, Ox9FAOFFÜB, 0x6BEOCD2F, Ox3F258C7A, Ox 1E213F2F, 0x9C004DD3,, 
03 0x6003E540, OxCF9ECS49, OxBEDAAF27, 0x88BBBDB5, 0xE2034090, 0x98D09675, 
04 0x@263A0H0, 0x15C361D2, OxC2E7661D, 0x22D4FFBE, 0x28683B6F', 0xC07ED059, 
05 OxFF2379C8, 0x775FS0E2, 0x43C340D3, QxDE2F8656, 0x88 JCA41A, OxAZD2BD2D, 
06 OxA1C9EOD6, 0x346C4819, 0x61B76D87, ΟΚ225Α0ΕΖΕ, 0x2ABE32E1, QxAA54166B, 
07 0x22568E3A, 0xA2D341D0, 0x6€DB40C8, 0xA784392F , 0x004DFF2F, Ox2DB9D2DE, 
08 0x97943EAC, 0x4A97C1D8, 0x527644B7, ΟΧΒΒΕΔ3ΤΆΤ, 0xB82CBAEF, 0xD751D159, 
09 ΟΧΘΕΕΤΕΌΕΤ, 0x5A097A1F, 0x827B68D0, 0x90ECFS2E, 0x22B00054, 0xBC8E5935, 
10 Ox4BéD2E7E, 0XS0BB64A2, OxD2664910, OxBEE5812D, 0xB7332290, OxE93B159F, 
1 OxB48EE411, 0x4BFF345D, OxFD45C240, 0xRD31973F, OxC4FED02E, OxSSECBLES, 
12 OxD5BICAAD, OxATAC?DAE, 0xA2D4B76D, 0xC19B0C50, 0x882240F2, Ox0CEE4F38, 
13 OxA4EABED7, 0x4FSBA272, 0x564C1D2F, 0xC59C5319, 0xB949E:354, OxBO4669FE, 
14 OxBIBGABBA, 0xC71358DD, 0x6385C545, 0x11 0F935D, 0x57538AD5, 0x6390493, 
15 OxE63D37E0, 0x2A54F 6B3, 0x3A787D5F, 0x6276A0B5, Ox19AGFCDE, 0x7A42206A, 
16 0x29F9D4D5, OxFGIB1891, 0xBB72275E, 0xAASO8167, 0x:38901091, ΟΧΟΘΒΞΟΞΕΒ, 
17 Ox84C'ICB8C, 0x2AD7SA0F, 0x874A14277, 0xA2D1936B, 0x2AD286AF, OxAA5SED291, 
18 0xD7894360, 0x425C750D, 0x93B39E26, 0x187184C9, 0x€C00B32D, 0x73E2EB14, 
19 OxAOBEBC3C, 0x54623719, 0x64459E2B, 0x3F328B82, 0x T718CF82, ΟΧΡΘΑΧΣΑ6, 
20 0x04EE002E, ΟΧΒΘΕΕΤΕΕΕ, 0x3EAB0950, Ox 325FF6C2, 0x81383F05, 0x6963C5C8, 
2 Ox'76CB5AD6, 0xD49974C9, OxCALSODCF, 0x380782D5, OxCTEASCF6, Ox8AC31511, 
2 0x35E79E13, 0x47DA91D0, 0xF40F9086, OxA7E2419E,, 031366241, 0x051EF495, 
23 0xAA573B04, 0x4A805D8D, 0x548300D0, 0x00322A3C, 0xBF64CDDF, ΟΚΒΑΞΊΑΕΕΕ, 
24 0x75C6372B, 0x50AFD341, 0xA7C13275, Ox915A0BE5, 0x6B54BFRB, 0x2B0B1426, 
25 OxAB4CC9D7, 0x449CCD82, OxF7FBE265, OxABSSCSE3, 0x1B55DB94, 0xAAD4E324, 
26 OxCEA4BD3F, Ox2DEAA3E2, 0x9E204D02, OxCSBD2SAC, OxEADESSB3, OxD5BDOE98, 
21 0xE31231B2, 0x2ADSADEC, 0x9543290E, OxALBEAS28, OxD8710F69, 0xAA51C90F, 
28 ΟΚΆΆ7ΘΕΡΒΕΕ, 0x22513FTE, OxAASIA7SB, 0x2AD3440C, 0x7B5A41F0, 0xD37CEBAD, 
29 0x1B069505, Ox41ECEA91, 0xB4C332K6, 0x032268D4, OxC9600ACC, OxCE387E6D, 
30 OxBFGBBL C, 0x6A70EB78, 0x0D03D9C9, OxD4DE39DE, 0x£01063DA, 0x4736F464, 
31 OxSAD328D8, 0xB3470C96, Ox J5BBOFC3, 0x98511BEB, 0x4FFBOC35, OxB5BBCFGA, 
OxELTFOABC, ΟΧΒΕΟΞΕΕΑΑ, OxA70AEC10, 0x27395 70A, Ox3F04447F , 0x6188B153, 
OxE0397A2E, 0x5727CB79, 0x9CEB418F, Ox 1CACD68D, 0x2AD37C96, 0x0175CB9D, 
OxC69DEE09, 0xC7SBE5E0, OxD9DB40D8, OxECOETT19, 0x4744EAD4, 0xB11C3274, 
OxDD24CB9E, OX 7ELCS4BD, OxF01144F9, 0xD2240EB1, 0x9675B3ED, 0xA3AC3755, 
OxD47C27AF, 0xS1C85F4D, 0x56907596, OxASEBISEG, 0x58030450, OxCA042CF1, 
0x011A37EA, OxSDBEAATB, Ox35BA3EAA, 0x3526FEA0, OxC37BAD09, 0xBC306ED9, 
0x98A52666, 0x5648F 725, OxEFSESE9D, 0x0CED63D0, Ox 7C63B2CF, 0x700B45E1, 
OxDSEASOF1 , 0x85A92872, OxAFLEBDA7, 0xD4234870, 0xA7870BE3, 0x2D3B4D79, 
042804198, OxOCDOEDE, 0x26470DB8, OxF881814C, 0x474D6AD7, Ox ICOCSESC, 
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0xD1231959, 0x381B7298, OxFSD2F4DB, 0xAB838653, OxGE2FTE23, 0x83719C9E,, 
OxBD91E046, 0x 9A5645GE, OxDC39200C, 0x20C8C571, 0x962BDA1C, 0xE1E696FF, 
OxB141AB08, 0x 7CCA89B9, 0x1A69&:783, 002004843, OxA2F7C579, 0x429RF47D, 
0x47 TB169C, OxXSACSF049, ΟΧΠΡΒΕΌΕΌΟ, 0x5C8165BF), //5[01 


{0x1F201094, OxEFOBA7SB, 0x69E3CE7E, 0x393F4380, OXFEGICE7A, OxEEICS207A, 
0x55889C94, 0x72FC0651, OxADATEF79, 0x4E1D7235, OXD5SAG3CE, 0xDE0436BA, 
0x99C430EF,, Ox5F0CO794, 0x1 8DCDB7D, OxA1DGEFE3, 0xA0B52F7B, 05983605, 
ΟΧΕΕ1ΞΒΟΘ4, OxE9FFD909, 0xDC440086, 0xEF944459, OxBAB3OCB3, OXEÜC3CDEB, 
OxD1DA4181, 0x3B092AB1, 0xF997F1C1, OxASE6CE7B, 0x01420DEB, OxEAETEFSB, 
Ox25A1FF41, 0xE180E806, 0x1FC41080, Ox179BEE 7A, 0xD37ACEA, OxFES830A4, 
Ox98DESB7E, Ox T 7E83F4E, 0x79929269, 0x24FA9F 7B, 0xE113C85B, 0xA0C40083, 
0xD7503525, Ox 7EA615F, 0x62143154, 0x0D554B63, 0x5D681121, 0xC866C359, 
Ox3D63CE73, OxCEE234C0, OxD4D87E87, 0x5C6 72821, 0x071F6181, 0x39F762 TE , 
0x:361E3084, OxEAEB573B, 0x602F64A4, 0xD63ACDSC, OXIBBC4635, Ox9E81032D, 
0x2701F50C, 0x99847AB4, ΟΚΛΟΕ3ΡΕ79, OxBAGCE38C, 010843094, 0x2537A95E, 
OxFAGFGFEE, OxALFFSBIF, 0x208CEBEA, 0x8F459C74, 0xD9E0A227, 0x45IC73A34, 
OxFCB84F69, 0x3EADESDE, OxEFOE0088, 0x3559648D, 0x8A45388C, 0x1D804366, 
0x72 LD9BED, 0xA58684BB, 0xE8256333, 0x844E8212, 0x128D8098, OxFED33EB4, 
OxCE280AE1, 0x27E19BA5, 0xDSA6C252, 0xEA9 754BD, OxCSDESSDD, OxEB667064, 
0x77840B4D, ΟΧΑΊΒΕΛΒΟΊ, 0x84DB26A9, 0xE0B56714, 0x21F043B7, 0xE5D05860, 
0x54F03084, 0x066FF472, 0xA31AA153, OxDADC4755, 0xB5€25DBF, 0x68561BE6, 
Ox83CAG394, 0x2D6ED23B, ΟΧΕΩΓΕΟΙΓΒ, OxAGDSDOBA, 0xB6803D5C, OxAF 77A709, 
0x33B4A34C, 0x397BC8D6, 0xSEE22B95, OxX5F0E5304, 0x81ED6F61, 0x20E74364, 
0xB45E1378, 0xDE18639B, 0x881CA122, 0xB9672€D1, 0x8049A7E8, 0x22B7DA7B, 
0x5E552D25, 0x5272D237, 0x 79D2951C, OxC60D894C, 0x488CB402, OX BA4FESB, 
OxA4B09F 6B, 0x1CA815CF, 0xA20C3005, 0x8871DF63, 0xB9DE2FCB, Ox00CECIES, 
OxOBEEFES3, 0xE3214517, 0xB4542835, 0x9F63293C, OxEE41E729, OxEELD2DIC, 
050045286, Ox1E6685F3, 0xF33401C6, 0x:30A22C95, 0312770850, 0x60930F13, 
Ox 73F98417, 0xA1269859, OxEC645C44, 0%52C877A9, OxCDEF33A6, 0xA02B1741, 
Ox7CBAD9A2, 0x2180036F', 0x50D99C08, OxCB3F4861, 0«C2G3D765, Ox6AA3FGAB, 
0x80342676, 0x25A75E7B, OxEAEGDIFC, 0x20C710E6, OxCDEUB680, 0x17844D3B, 
Ox31EEF84D, 0x 7E0824EA, OxX2CCBAGEB, 0x846A3BAE, 0x8FE77888, OXFESDGOFG, 
Ox7AE75673, 0x2EDDSCLB, 0xA11631C1, 0x30F66F43, ΟΧΒ3ΕΆΕΙ54, Ox1S7ED7EA, 
OxEF85790C, 0xD152DE58, OxDB2FEDSE, 0x8F32CE19, 0x306AF97A, Ox02FO3EF8, 
0x99319AD5, 0xC242FAOF,, OxATE3EBBO, OxC68E4906, OxBSDA230C, 0x80823028, 
OxDCDEF3C8, 0xD35EB171, 0x088A1BC8, OxBEICOC560, 0x61A3C9E8, OxBCASES4D, 
OxC72EEFEA, 0x22822E99, 0x82C570B4, 0xD8D94E89, 0x8B1C34BC, Ox301E16E6, 
0x273BE979, OxBOFEEAAG, 0x 61D9B8C6, 0x00B24869, 0xB7EECE3F, Ox08DC283B, 
Ox43DAF65A, OxF7E19798, 0x 76198 72F, 0x8F1C9BA4, OxDC8637A0, 0x16A7D3B1, 
Ox9FC393B7, OxA7136EFB, OxCGBOCG3E, 0x1A513742, OxEF6828BC, 0x520365D6, 
Ox2DGAT TAB, 0x3527ED4B, 0x821FD216, 0x095C4E2E, ΟΚΠΒΟΡΕΖΕΒ, 0xSEEA2SCB, 
Ox145892F5, 0x91584F TF, 0x5483697B, 0x2667ASCC, 0x85196048, Ox8C4BACEA, 
0x833860D4, 0x0D23E0F9, 0x6C387E8A, Ox0AE6D249, 0xB284600C, 0xD835731D, 
OxDCBIC647, OxACACSGEA, ΟΚ3ΡΕΡΒΙΒ3, 0x230EABBO, 0x6438BC87, OxFOBSBIFA, 


5 8 


883 8 8 Ἑ BRE 888 


107 


110 
11 


113 


ΟΧΒΕΞΕΆΖΒ3, 0xFC184642, 0x0A036B7A, 0x4FB089BD, 0x649DR589, 0xA345415E, 
0::5C038323, 0x3E5D3BB9, 0x43D79572, Ox 7EEDD07C, OxOGDEDETE, Ox€CECC4EF, 
071602539, Ox ]3BEBE 70, 0x83877605, 0x4523RICF1 ) , //sn] 


{Ox8DEFC240, 0x25FR5D9F, OxFB903DBF,, 0xE810C907, 0x47607EEF, 0x369FF44B, 
Ox8C1EC644, OXAECECA90, 0xBEBIFOBF, OXEEFBCAEA, OXEBCF1950, OXSIDEO7AE, 
0x920E8806, OxFÜADO548, OxE.L3C8D83, 0x927010D5, 0x11107D9F, 0x07647DB9, 
ΟΧΒΟΕΞΕΑΓΑ, 0x3D4F285E, 0xB9AFA820, OxFADEB2ED, 0xA067268B, 0x8272792E, 
0x553ER200, 0x489ARE22B, 0xD4EF9794, Ox125E3FBC, 0x21FFECEE, Ox825BIBED, 
Ox9255C5ED, 0x1257A240, 0x4E1A8302, ΟΚΒΛΕΟΤΕΞΕ, 0x528246E7, 0x8E57140E, 
Ox3373F TEE, Ox8C9F8188, OxAGEC4EE8, 0xC982B5A5, 0xASCO1DB7, 0x5 79FC264, 
0x67094F31, OxF2BD3FSF, Ox40FFF'IC1, Ox1FB78DEC, 0x8E6BD2C1, 0x437BESSB, 
0x99B03DBF, 0xBSDBCE4B, 0x638DC0E6, 0x55819D99, OxA197C81C, 0x4A012D6E, 
OxC5884228, OxCOC36F71, 0xB843C213, 0x6C0743F1, 0x8309893C, OxOFEDDDSF, 
Ox2F7EE850, 0xD7COTETE, 0x02507EBF, OXSAFBOAO4, 0xA747D2D0, 0x1651192Æ, 
OxAF70BF3E, 0x58C31380, 0x5F98302E, 0x7270C3C4, Ox0A0EB402, 0x0F 7FEF82, 
Ox8C96EDAD, 0xSD2C2AAE, 0x8EE99A49, 0x50DA88B8, 0x8427F4A0, Ox 1EAC5790, 
0x796FB449, 0x8252DC15, 0xEFBD7D9B, 0xA672597D, OxADA840D8, 0x45F54504, 
OxEASD7403, ΟΧΕΒΞΕΓ305, 0x4F91751A, 0x925669C2, 0x23EFE941, 0XA903F12E, 
0x60270DE2, ΟΚΟΖ76ΕΑΒ6, 0x94FD6574, 0x927985B2, 0x8276DBCB, 0x02778176, 
OxFBAF918D, ΟΧ4ΕΑΒΕΤΞΕ., ΟΧΒΕΘΙ6ΩΓΕ, OxE29D840E, 0x842F7D83, 0x340CESCB, 
0x96BBB682, 0x93B4B148, OxEF303CAB, 0x984FAF28, 0x779FAFSB, Ox92DC560D, 
0x224D1E20, 0x8437AAB8, 0x7D29DC96, 0x2756D3DC, 0x8B907CEE, 0xBS1FD240, 
OxE7CO7CE3, 0xES6GBAAT , OxC3E9615E, Ox3CF8209D, 0x6094D1E3, O«CD9CA341,, 
0x5C76460E, Ox00EA983B, 0xD4D67881, OxFD47572C, OxF6CEDD9, 0xBDA8229C, 
Ox127DADAA, 0x438A074E, 0x1F97C090, 0x081BDB8A, ΟΧΘ3ΛΟΤΕΕΕ, 0xB938CA15, 
Ox97BOSCEF, Ox3DC2COF8, Ox8DIAB?EC, 0x64380E51 , 0x680C7BEB, 0xD90F2788, 
0x12490181, OxSDESEED4, ΟΧΡΟΤΕΕΒΕΑ, 0x76A2E214, 0xB9A40368, 0x9? 5D958F, 
Ox4B39FFFA, OxBASQAFES, OxA4FFD30B, OxFAF7933B, 060498623, 0x193CBCEA, 
027627545, 0x825CF47A, 0x61BD8BA0, OxD11EA2DI , OxCEADO4FA, Ox127EA392, 
010428087, 0x8272A972, 0x9270C4A8, 0x127DES0B, Ox285BA1CB, 0x3C62F44F, 
Ox35COEAAS, OxE805D231, 0x428929FB, OxBAFCDE82, Ox4FB66A53, 0x0E7DC15B, 
Ox1FO81FAB, Ox108618AE, OxFCFD086D, OxF9FF2889, 0x694B0C11, 0x236ASCAE, 
Ox12DECA4D, Ox2C3F8OC5, OxD2D02DEE, OxFBEF5896, ΟΧΕΑΓΕΞ2ΓΑ, 0x95155B67, 
0x494A488C, ΟΧΒΘΒΕΛΒΟΟ, 0x5C8F82BC, 0x89D36B45, 0x3A609437  OxEICOOCSAO, 
044715253, 0x0A874B49, 0xD773BC40, 0x7C34671C, 0x02 71 TEF6, Ox4FFB5536, 
OxA2DO2EEF, OxD?BEGOCA, OxD43F03CO, Ox5OBAEFGD, 0x07478CD1, 0x00GE1888, 
OXA2E53F55, OXB9EGDABC, 0xA2048016, 0x97573833, 0xD7207D67, OxLEOFSE3D, 
Ox 72F8 7833, 0xABOC4E33, 0x 7688C55D, Ox 7BOOAGBO, 0x947B0001, 05700 75D2, 
OxF9BB88F8, 0x89420198, 0x4264A5FF , 0x856302E0, Ox 72DBD9?B, 0xEE971B69, 
Ox@EA22EDE, OxSFOGAE?B, ΟΚΛΕ7Α6Ι 60, 0xESC98767, OxCFIFEBD2, OXGIEFCBC2, 
OxF1AC2571, 0xCC8239C2, 0x67214CB8, 0xBIES83D1, 0xB7DC3E€2, Ox 7F1OBDCE,, 
OxF90A5C38, 0x0FE0443D, Ox60GEGDC6, 0x60543A49, 0x5727C148, Ox2BESBATD, 
0x8AB41738, Ox2OETEE24, OxAF9GDAOF, 0x68458425, 0x99833BE5, 0x600D457D, 
0x282F9350, 0x8334B362, 0xD91D1120, 0x2BDSDA0, 0x642B1E31, 0x9C305A00, 


8.2 CAST-128 算法 实现 “133、 


,134” ΒΘ CAST-128 算法 


BERERREERE 


169 
170 
171 
172 
173 
174 
175 


Ox52BCE688, 0x1B03588A, OxF 7BAEFDS, 0x4142EDSC, 0xA4315C11, 0x833238C5, 
OxDEEF4636, 0xA133C501, 0xE9D3531C, 0xFE353783) , //S(2] 


{Ox9DB30420, Ox IFBGESTE,, 0xA7BETBEF, 0xD273A298, 0x4A4F7BDB, Ox64AD8C57, 
085510443, OxFAO20ED1, Ox7E287AFF, OXEGOFB663, 0x095F35A1, Ox79EBF120, 
OxFD059D43, 0x€497B7B1, OxF 3641F63, 0x24 1E4ADE, 0x28147ESE, Ox4FA?BBCD, 
0xC9430040, 000032220, 0xFDD30B30, 0xC0A5374F, 0x1D2D00D9, 0x24147B15, 
OxEE4D111A, OxOFCA5167, 0x71EF904C, 0x2D1 95FFE, Ox1A05645F, 0x0C13FEFE, 
0x081B08CA, 0x05170121, 0x80530100, OxEB3ESEFE, OxACOAFAF8, 0x7EE72701, 
OxD2BSEESF, 0x06DF4261, OXBBOESBBA, 0x7293EA25, OxCES4FEDE, 0xF5718801, 
0x3DD64B04, 0xA26F263B, 0x7ED48400, 0x547EEBE6, 0x446D4CA0, 0x6CF3D6ES, 
Ox2649ABDF, OXAEAOC TES, 0x363380C1, 0x503E7E93, 0xD3772061, Ox11B638EL, 
0x:72500E03, 0xF80EBOBB, OxABEOSO?E, OxEC8D77DE, 0x57971E81, 0xE14F6746, 
0xC9335400, 0x6920318F, 0x081TBB99, 0xFFC304A5, 0x4D351805, Ox 7E3D5CE3, 
OxAGCB66C6, Ox5D5BOCA9, OXxDAECGEEA, 0x9F926F91, 0x9F46222F, 0x3991467D, 
OxASBFED8E, 0x 1143CA4F , 0343958302, 0xD021 4EEB, 0x022083B8, OX3FB6180C, 
Ox18F8931E, 0x281658E6, 0x2648GE3E, 0x8BD78A70, 0x7477E4C1, OXB506EO C, 
OxF32D0225, 0x:79098802, OXEAEABB81, 0x2812 3823, Ox69DEAD38, 0x1574CA16, 
OxDE871B62, 0x211C40B7, OxA5IAGEF9, 0x0014377B, 0x041E8AC8, 0x09114003, 
OxBDS9E4D2, 0xE3D156D5, Ox4FE8 76D5, 0x2F91A340, 0x55 TEESDE, OxOOEAEAA7, 
Ox0CESC2EC, Ox4DBABBA6, ΟΧΕ7Ρ6ΒΓΕΕ, OXDD3369AC, OxEC178035, 0x0657232 1, 
Ox99AFCEBO, 0x56C8C391, 0x6B65811C, 0x5E146119, 0xG:85CB75, OXBEO7COO2, 
0xC2325571, 0x893FF4EC, OXSBBECS?D, OxDOEC3BO5, 0xB7801AB7, Ox8D6D3B24, 
0x20C763EF, 0xC366A5FC, 0x97382880, OxQACE3205, OxAACO548A, OXECATDICT, 
Ox041AFA32, Ox1D16625A, 0x6701902C, 0x9B757A54, 0x31D477F7, 0x912@031, 
0x360C6EDB, 0xC70BSB46, OxD9E66A48, 0xSEE55A79, 0x02 GMICEB, 0x5243 TEFF , 
ΟΧΖΕΒΕ76ΒΑ, OxODF980A5, 0x8674CDE3, 0xEDDA04EB, 0x1 7A9BE04, 0x2C18F4DF, 
0xB7747E9D, 0xAB2AF7BA, 0xEFC34D20, 0x2E096B7C, 0x1741A254, OxESBEA035, 
0x213D42F6, 0x2C1C7C26, 0x61C2F50F, 0x6552DAF9, OxD2C231F8, 0x25130F69, 
OxD8167EA2, 0x0418F2C8, 0x001A96A6, 0x0D1526AB, 0x63315C21, 0xSENA72EC, 
Ox49BAFEED, 0x187908D9, 0x8DODBD86, 0x311170A7, Ox3ESBeAOC, O«CC3ETODT, 
OxDSCAD3B6, 0x0CAEIC388, OxE73001E1, 0x6C728AFF, Ox71EAE2A1, Ox1F9AF3GE,, 
OxCECBDI?F, OxC1DE8417, OxACO7BEGB, 0xCB44A1D8, ΟΧΒΒΘΒΟΕΣΕ, 0x013988C3, 
OxBICS2ECA, OxB4BE31CD, 0xD8782806, 0x12A3A4E2, Ox6F7DES32, 0x58FD7EB6, 
OxDO1EE900, Ox24ADFEC2, OxFA4990FC5, 0x9711AACS, 0x001D7B95, 0x82ESE7D2, 
0x:109873F6, 0x00613096, 0xC32D9521, OxADA121FF, 0x29908415, ΟΧΤΕΒΒΟΤΙΕ, 
OxAFUERSDB, Ox29COEDPA, 0xSCE2A465, 0xA730F32C, OxDOAA3FEB, Ox8ASOCOOL, 
OxD49E2CE7, OxOCEA54A9, 0xDE0ACD86, 0x015F1919, 0x 77079103, OxDEAO3AF6, 
Ox 78AB565E,, 0xDEE356DF, 0x21 FOSCBE, 0x8B75E387, 0xB3C50651, OXBBASC3EF, 
OxD8EEB6D2, OxES23BET 7, 0xC2154529, OX2FG9EFDE, OxAFEG7AFB, OxF470C4B2, 
OxF3EOEBSB, 0xD60C9876, 0x39E4460C, 0x1EDA8538, 0x1987832F, QxCA007367 , 
OxA99144F8, 0x2968299E,, 0x49? FC295, 0x9266BEAB, 0xB5676E69, Ox9BD3DDDA, 
OxDE7E052F, 0xDB25701C, 0xIBSESIEE, OxF65324E6, OxGAFCE3GC, 0x03160704, 
0x8644213E, OxB7DC59D0, 0x7965291F, OxOCDEED43, 0x41823979, 0x932BCDF6, 
OxB657C34D, 0x4EDED282, 0x7AES290C, 0x30B9536B, 0x851E20KE, 0x9833557E, 


8.2 CAST-128 算法 实现 “135 、 


176 ΟΧ13ΕΓΕΌΒΟ, OxD3FFB372, 0xX3F85C5C1, ΟΧΠΆΕΕΤΕΓΟ], //S[3] 

177 

178  (Ox7EC90CO4, 0x2CEE74B9, Ox9BOEGGDE, 0xA6337911, ΟΚΒΒΕΑΤΕΕΕ, Ox1DD358F5, 
179 Ox44DD9D44, 0x1731167F, ΟΚΟΒΕΒΕΊΕΑ, OxE7FS11CC, 0xD2051B00, 0x735ABA00, 
180  Ox2A2B722D8,0x386381CB, OxACFG243A, 0x69REFD7A, 0xEGA2E77E, OXFÜCT20CD, 
181  0x4494816, 0xOCFSC180, 0x38851640, 0x15B0A848, 0xE68B18CB, 0x4CAALEFF, 
182 Οπ5ΕΔΘΟΑΟΙ, 0x0412B2AA, 0x259814FC, 0x41D0EFE2, 0x4EA0BA8D, 0x248FB6FB, 
183  Ox8DBAICFE, 0x41A99802, 0x1A550A04, 0xBASF65CB, 0x7251F4E7, 0x95A51725, 
184  OxCl0G9CD7, 0x9 7A5980A, 0xC539B9AA, Ox4D79FEGA, OxF2F3E763, 0x68AF8040, 
185  OxEDOC9E56, Ox11B4958B, 0xE1EBSA88, 0x8 709E6B0, OxD7E07156, 0x4E29FFA7, 
186  0x63668E52D, 0x02D1C000, OxCAACBEO5, 0x937 7F571, 0x0C05312A, 0x578535F2, 
187  Ox2261BE02, 0xD642A0C9, OXDE13A280, 0x74B55BD2, 0x682199C0, 0xD421ESEC, 
188  Ox53EB3CEB, OXCBADETB3, 0x28A8 TEC9, 0x3D959981, 0x5SC1FF900, OxFE38D399, 
189  OxOCAEFFOB, 0x0€2407EA, OxAA2F4FB1, 0x4FB96976, 0x90C 79505, 0xBOA8A774, 
OxEFSSALFF, OxE59CA2C2, 0xAGB62D27, xE66/4263, OxDFESOOLF, 0x0E-50966, 
191  OxDFDD55BC, 0x29DE0655, 0x911E739A, 0x1 7AF8975, 0x32C7911C, 0x89F89468, 
OxODO1E980, 0%524755F4, 0x03B630C9, 0x00C844B2, 0xBCF3EUAA, 0x87AC3€E9, 
193  OxE53N7426, 0x01B3D82B, 0x1A9E7449, 0x€4EE2D7E, OxCDDBBIDA, 0x01C94910, 
OxB868BF80, 0x0D26F3ED, 0x9342EDE7, 0x04A5C284, 0x636737B6, 0xSOFSBELE, 
OxE24766E3, 0x8EICA3€C1, 0x138:05LB, 0xFEF 18391, OxFB887A37, ΟΧΡΘΕΤΕΤΡΑ, 
OxC7EB7DC9, 0x3063ECDF, ΟΧΒΕΕΌΒΘΓΕ, 0xEIC2941DA, 0x26E46695, 0xB7566419, 
197  OxF654EFC5, 0xD08D58B7, 0x48925401, OxC1BACB7F, OxESEESSOF, 0xB6083049, 
OxSBBSDOES, 0x87D72E5A, ΟΚΛΒΕΛΕΕΕΊ, 0x223A66CE, 0xC62BF3CD, 0x9P0885F9, 
0x68CB3E47, 0x086COLOF, 0xA21DE820, 0xD18B69DE, 0xF3F65777, ΟΚΕΛΟΖΟΞΕΕ, 
Ox40 7EDAC3, 0xCBB3D550, 0x1793084D, 0xB0OD70EBA, 0x0AB378D5, OxD951FBOC, 
OxDED7DA56, 0x4124BBE4, 0x94CA0B56, 0x0F5755D1, OxEOETE5GE, Ox6184B5BE,, 
Ox5802249F, 0x94F74BCO, 0x£327888E, 0x9F7B5561, 0xC3DC0280, 0x05687715, 
Ox646CGBD7, 0x44904DB3, Ox6GBAFÜA3, OxCOF1648A, ΟΧΕΘΤΕΡΒΑΕ, ΟΚ49ΕΟΡΕΕΕ, 
0x3098374F, 0x2CB6356A, 0x85808573, 0x4991F840, Ox 76GFOAEO? , 0x083BE84D, 
0x28421C9A, 0%44489406, 0x734E4CB8, 0xC1092910, 0x8BC95FC6, Ox 7DB6OCF4, 
Ox134F616F, 0x2E77118D, 0XB31BOBE1, 0xAA90B472, Ox3CA5D717, 0X7D161EBA, 
Ox9CAD9010, OxAFAG?BA?, 0x9FE4S9D2, 0x45D34559, OxD9F2DA13, Ox«DBC65487 , 
ὈΧΕΞΕΑΕΌΔΕ, Ox176D486F , 0x097C13EA, 0x631DA5C7, 0x445F 7382, Ox175683F4, 
OxCDC66A97, 0x70BE0288, OxB3CDCF 72, ΟΚΘΕΡΡΩΡΕ3, 0x20936079, 0«459B80A5, 
OxBEGOE2DB, 0xA9C23101, OxEBAS315C, 0x224FA2F2, 0x1C5C1572, OxF6721B2C, 
Ox1ADOFFE3, 0x8C25404E,, Ox324ED72F,, 0x4067B7ED, 0x0523138E,, 0x5SCA3BC78, 
OxDCOFD66E, 075922283, 0x784D6B17, Ox58EBBI1GE, 0x44094F85, Ox3F481D87, 
OxECEEAE7B, 0x77BSEE76, 0x8C2302BF, OxAAF4 7556, Ox5FAGBO?A, 0x2B092801, 
Ox3D38ESE7, 0x0CAS1F36, 0xS2AF4A8A, 0x66D5E7C0, OxDF3B0874, 0x95055110, 
Ox1B5AD7AB, OxFGIEDSAD, Ox6CFGEA79, 0x20758184, OxDOCEFAG5, 0x88E7BES8, 
216  Ox4A046826, OXOFFGFBE3, 0xA09C7E70, 0x5346ABA0, 0x5CE96C28, OxE176EDA3, 
217 OxGBAC3OTE, 0x376829D2, 0x85360EA9, Ox17E3EE2A, 0x24B79767, ΟΧΕΞΑΘΕΡΖΟ, 
218 — OxDECD2595, Ox68EFIEBF, 0x75554420, ΟΚΕΊΘΕΌΕΕΕ,, OxF9EOG59A, OxFEBO491D, 
219 034010718, 0xBB30CAB8, 0xE822FE15, 0x88570983, 0x 750E6249, 0xDA627E55, 
220 ΟΧΒΕΤΘΕΕΑΒ, 0xB1534546, 0x6D471E08, OxEFEGE7D4}, //s(4] 


Ë 58 ΒΒ 
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BRRURBREREB 


aR BRB 


(OxFGFABF9D, Ox2CACGCEL, 0%4CA34867, 0xE2337E7C, 0x95DB08E7, 0x016843B4, 
OxBICEDSCBC, 0325553AC, ΟΧΒΕΌΕΌΘΘΟ, 0xDEA1E2ED, 0x83F0579D, 0x€3ED86B9, 
Ox1ABGAGBB, OxDESERE39, 0xF38FF732, 0x8989B138, 0x33F14961, 0xC01937BD, 
OxFSOGCGDA, 0xEAG25E TE, OxA308EA99, 0x4E23E33C, Ox 79CBDICC, 0%48A14367, 
0xA3149619, OxFECO4BD5, 0xA114174A, OxFAA01866, OxA084DB2D, 0x09A8486F , 
0xA888614A, 0x2900AF98, 0x01665991, 0xE1992863, 0xC8F30C60, 0x2E78EF3C, 
OxD0D51932, OxCFOFEC14, OxF"JCAO 7D2., 0xD0A82072, OxFD41197E, 0x9305AGB0, 
OxEBGBESDA, 0x74BEDSCD, 0x372DA53C, 0x4C7F4448, OXDAB5D440, 0x€DBA0HC3, 
0x083919A7, OX9FBAFEDO, Ox49DBCFBO, Ox4E6 7053, 0x5C3D9C01, 0x64BDB941, 
Ox2COE636A, OXBATDDSCD, OxEA6F'7388, 0xE70BC762, 0x35F29ADB, OXSCACDDED, 
OxFOD48D8C, 0xB88153E2, 0x08A19866, Ox 1AE2EACB, 0x284CAF89, 0xAA928223, 
0x9334BE53, 0x3B3A21BF, 0x16434BE3, 0x9AFA3906, OxEFESC36E, OXFB90CDDO, 
0x80226DAE, 0xC340A4A3, OxDE'7E9CO9, 0xA694A807, 0xSB7CSENC, 0x221DB3A6, 
ὈΧΘΆΘΘΆΩΖΕ, 0x68818A54, 0xCEB2296F, 0x53C0843A, 0xFE893655, 0x25BFE6SA, 
OxB4628ABC, 0xCF222EBF, Ox25ACGF48, 0xA9A99387, 0x53BDDB65, ΟΧΕΊΘΕΕΕΕΊ, 
OxE967ED78, 0x0BA93563, 0x8E342BC1, 0xE8A11BE9, 0x4980740D, OxCB087DEC, 
Ox8DE4BF99, 0xA11101A0, 0x7ED37975, OxDASA2€C0, 0xE81F994F, 0x9528CD89, 
OxED339FED, 0xB87834BF, 0x5F04456D, 0x22258698, 0xC9C4C83B, 0x2DC156RE, 
Ox4F628DAA, 0xS7ESSECS, ΟΧΕΖ220ΛΕΕ, OxD291 €EBF, 0x4PC75B95, Ox24F2C3CO, 
Ox42D15D99, OxCDOD7EA0, 0x 7BEE27EF , OXASDCBAFO, 0x7345C106, OxF41E232F, 
0x:35162386, 0xEGEAB926, 033338094, 0x15 7HCEE2, 0x372B74AF, 0x692573E4, 
OxE9A9D848, 0xF3160289, 0x3A€2EF LD, 0xA787E238, OxF3A5F676, 0x74364853,, 
020951063, 0x4576698D, ΟΧΒΘΕΆΡΑΟΤ, 0x592AF950, 0x36E73523, Ox4CFBGEB 7, 
OX 7DA4CECO, 0x€6C152DAA, 0xCB0396A8, OxCSODEESD, OxFCD7072B, 0x0921C42F, 
Ox89DEF OBB, 0xSFE2BE78, 0x448F4F33, 0x754613C9, Ox2BOSDOSD, Ox48B9D585, 
0xD0049441, 0xCB098F9B, Ox DEDE 786, 0xC39A3373, 0x42410005, 0x6A091751, 
Ox0EF3C8A6, 0x890072D6, 0x28207682, OxA9AOFTBE, OxBE32679D, 0xD4585875, 
0xB353ED00, OxCHBOE358, 0x830F220A, Ox1F8FB214, 0xD372CF08, 0x0C3C4A13, 
Ox8CF63166, 0x061C87BE, Ox88C98F88, 0x60€2E397 , 0x4 JCFBE 7A, 0xBEC85283, 
0x30C2ACEB, 0x3FC06976, 0x4E8F0252, 0x64D8314D, 0xDA3870E3, Ox1E665459, 
OxC10908F0, 0%513021A5, 0x6CSB68B7, Ox822FBAA0, 0x3007CD3E, 0x7471 FEF, 
OxDC872681, 0x073340D4, 0x7E432ED9, 0x0CSEC241, 0x8809286C, OxF592D891, 
Ox08A930F6, 0x957EF305, OxB7FBEFFBD, 0xC266E96F, 0x6FE4AC98, OxB17380C0, 
OxBC60B42A, 0x953498DA, OxFBATAE2, 0x2D4BD736, OXOF25FAAB, 0xA4F3ECEB, 
0xE2969123, 0x25 TEOC3D, 0x9348AF49, 0x:361400BC, 0xE8816F4A, 0x3814F200, 
0xA3F94043, Ox9C 7A54C2 , OXBC704F57, 0xDA41E7E9, OxC25AD33A, 0x54F4A084, 
OxB17E5505, 0%59357CBE, OXEDBDI5C8, Ox 7F9 C5AB, 0xBASACTBS, OXBGFGDEAF, 
0x3A479C3A, 0x5302DA25, 0x653D7E6A, 0x54268D49, 0x51A477EA, 0x5017D55B, 
OxD7D25D88, 0x44136C76, 0x0404A8C8, 0xBSESA121, 0xB81A928A, 0x60ED5869, 
0x97C55B96, OxEAEC99IB, 0x29935913, 0x01EDB7F1, 0x088E8DEA, 0x9ABEEEES, 
Ox3BACBE9F, 0x4A5DE3AB, OxEG051D35, 0xAQE1D855, 0xD36B4CF1, 0xF544EDEB, 
0xB0E93524, 0xBERBSEBD, 0xA2D762CF, 0x49C92F54, 0x38B5F331, 0x7128A454, 
048392905, OxA65B1DB8, 0x851C97BD, OxD67SCE2F}, /5551 


(0x85E04019, 0x332BF567, Ox662DBEFF, 0xCFC65693, Ox2ASDTEGF, OxABSBC912, 
OxDE6008A1, 0x2028DA1F, 0x0227BCE7, 0x4D642916, 0x18FAC300, 0x50F18B82, 
0x2CB2CB11, 0xB232E75C, Ox4B3695F2, OxB2870 7DE,, 0xA05EBCE6, OxCD4181E9, 
Ox&150210C, OxE24EFTED, 0xB168C381, 0xFDEAE789, 0x5C79B0D8, Ox1ESBED43, 
Ox4D495001, 0x38BE4341, 0x91 3CEE1D, 0x92A79C3F, 0x089766RE, OxBAFFADF 4, 
0x1 286BECF, OXBGEACBI9, 0x2660C200, OX 7565BDE4, 0x64241F7A, 0x8248DCA9, 
OxC3B3AD66, 0x28136086, OxOBDBDFAB, 0x356DICF2, 0x107789RE, 0xB3B2E9CE, 
Ox0502AA8F, OxOBCO3SIE, 0x1 66BF52A, 0xEB12FF82, 0xE3486911, 0xD34D7516, 
Ox4E7B3AFF, 0x5F43671B, Ox9CFGEO37, 0x4981AC83, 0x334266CE, 0x8C9341B7, 
OxDOD854CO, 0xCB3A6C88, 0x47BC2829, 0x4 725BA37, OxAGGADO?B, Ox7ADELFIE, 
OXOCSCBAEA, 0x4437F107, ΟΧΒΘΕΊΘΘΕ2, 0x42D2D816, 0x0A961288, OxEASCOGE, 
0x13749E67, 0x72EC081A, 0xB1D139F7, 0xF9583745, OxCF19DF58, OXBEIC3F756, 
OxCOGEBA30, 0x07211B24, 0x45C28829, ΟΧΟΘΡΕΞΙΤΕ, 0xBC8ECS11, 0x38BC4GE, 
OxCGEGFA14, OXBAEB584A, 0xAD4EBC46, 0x468F508B, 0x7829435F, 0xF124183B, 
Ox821DBAGF, OXAFFGOFFA, OxEA2CAEED, 0x1639264, 0x92544A8B, Ox009BAFC3, 
OxABAGSCED, 0x9AC96F78, 0x06A5B79A, 0xBO85GEGE, Ox 1AEC3CAO, 0xBE838688, 
ὈΧΟΕΟΒΟΔΕΘ, Ox55FTBE56, 0xE7E5363B, OxB3A1F25D, OxF 7DEBB85, 0x61FEO033C, 
0x:16746233, 0x30034C28, OxDA6D0C74, Ox79AACSEC, 0x3CEAELAD, 0x51F0C802, 
0ΧΘΒΕΒΕΞ3ΞΑ, 0x1626M9F, OXFEDE2E?9, Ox1D382FE3, OxOCAFB99A, 0xBB325778, 
Ox3EC6D97B, 0x€E77AEAS, OxCB658B5C, 0xD452 30C7, 0x2BD1408B, 0x60C03EB7, 
0xB9068D78, 0xA33754F4, 0xF430C87D, 0xC8A71302, 0xB96D8C32, OXEBDAE EE, 
OxBESB9D2D, 0x7979EB06, 0x&:7225308, 0x8B75CF 77, OXL1EFBDAA, 0xE083C858,, 
Ox8DEB786F, 0x5A6317A6, OxFASCE7A0, 0xSDDA0033, OxF28EBFBO, OxF5B9C310, 
OxAQEAC280, 0x08B9767A, OxA3D9D?BO, 0x79D34217, 0x021A718D, 0x9AC6336A, 
0x2711FD60, 043805083, 0«069908A8, 0x3D7FEDC4, 0x826D2BEF, Ox4FFB8476, 
0x488DCE25, 0x36C9D566, 0x28E74EA1, 0xC2610ACA, 0x3D49A9CF, OXBAE3BODE, 
OxBESFSDE6, Ox92AEAF64, 0x3ACTDSE6, Ox9EAB0509, 0xF22B017D, 0xA4173E70, 
OxDDIELEC3, 0x1SE0D7E9, 0x50B1B887, 0x2B9F4ED5, 0x625ABA82, 0x6A0179€2, 
ΟΧΖΕΓΟΊΒᾳ5, 0x15488AA9, 0xD714E740, 0x40055A2C, 0x93D29R22, OxE32DBF9A, 
005874589, 0x3453DC1E, 0xD699296E, Ox496CEF EF, 0x1C9F4986, OxDEEZEDO7, 
0xB87242D1, 0x1 9DE7EAE, 0x053ES61A, Ox15AD6F8C, 0x66626CI1C, 0x7154C24C, 
OxEA082B2A, 0x93EB2939, 0x1 7DCBOFO, 0x58D4F2AE,, 0xGEA294FB, OxS2CESEAC, 
0x9883EE66, 0x2PC40581, 0x763953C3, 0x01D6692E, OxD3A0C108, OxATE7160E, 
OxEAF2DEAG, 0x693ED285, 0x74904698, 0x4C2BOEDD, 0x4F 757656, 0x5D393378, 
0xA132234F, Ox3D321C5D, OxC3FSE94, 048269301, 0xC79F022F, Ox3C9STETE, 
Ox5EAF9504, Ox3FFAFEBD, 0x76F7AD0E, 029669354, OX3DIFCEGE, 0xC61EASEE, 
OxD3B5AB34, ΟΧΕἼΖΕΕΌΒΊ, 0x1B043400, 0x4E72B567, 0x5592A33D, 0xB5229301, 
OxCED2A87F, 0x60AEB767, 0x1814386B, 0x30B0C33D, 0x38A0C07D, OxEDLE06E2, 
0xC363519B, 0x589DD390, 0x5479F8E6, Ox1CB8D647, 0x97ED61A9, OxEATTS9FA, 
0x2D57539D, 0x569A58CF,, OXEBAEG3AD, 0x462E1B78, Ox6580F8 7E, 0xF3817914, 
Ox91DA55F4, 0x40A230F3, 0xD1988F35, 0xB4E318D2, Ox3FFASOBC, 0x3D40F021, 
OxC3COBDAE, 0%4958C24C, 0x518F3€22, 0x84B1D370, OxOFEDCE83, 0x8 78DDADA, 
OxE2A279C7, 0x94E01RE8, 0x90716F4B, 0x954B8AA3} , /516] 


{0xE216300D, OxBBDDEFEC, OxATEBDABD, 0x:35648095, 0x 7789F8B7, 0xE6C1121B, 
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311 
312 
313 
314 
315 
316 
317 
318 
319 


Ox0E241600, 0x052CE8B5, 0x1 1ASCEBO, 0xE5952F11, OxECE7990A, 0x9386D174, 
0x2A42931C, 074838111, 0xB12DEF3A, 0x3 7DDDDEC, OxDESADERI , Ox0A00C32C, 
0xBE197029, 0x84A00940, 0xBR243A0F, OxB4D137CF, 0xB44E79F0, 0x049REDED, 
0x0B15A15D, 0x480D3168, ΟΧΒΕΕΕΠΕΞΆ, 0x669DED42, 0xC7ECE831, 0X3F8F95E7, 
0x72DF191B, 0x7580330D, 0x94074251, 0xSC7DCDEA, OxABBEGD63, 0xAA402164, 
OxB301D40A, 0x02E7D1CA, 0x53571DAE, 0x7A3182A2, 0x1 2A8DDEC, OxFDAA335D, 
0x176F43E8, Ox 71FB46D4, 0x38129022, 0xCE949AD4, 0xB84769AD, 0x965BD862, 

Ox82F3D055, 0x66FB9767, 0x15880B4E, 0x1D5B47A0, ΟΚ4.ΕΓΕΟΘΕ:, 0xC28HC4B8, 
Ox57E8726E, 0x647A78EC, 0x99865D44, Ox6088D593, 0x6C200E03, 0x39DCSEF6, 

OxSDOBO0A3, OXAE63AFF 2, 0x7ESBD€32, 0x70108C0C, 0xBBD35049, 0x2998DE04, 
0x980CF42A, 0x9B6DF491, 0xGE7EDDS3, 0x06918548, 0x58CB7E07, 0x3B74EF2E, 
0x522FFFB1, 0xD247080C, Ox1C7EZ ICD, 0xA4EB215B, 0x3CFLD2E2, 0x19B47A38, 
04247618, 0x35856039, 0x9D17DEE7, 0x2 TEB35E6, OxCOAFF67B, 0x3GBAFSBB, 
0x09C467CD, 0xC18910B1, ΟΧΕΊ1ΠΒΕΊΒ, 0xOGCDIAF8, 0x7170C608, 0x2D5E3354, 
OxDADEA95A, 0x64C6D006, OxBOCOCE2C, Ox3DDOODB3, 0x 708F8E34, 0x77D51B42, 
0x264F620F, 0x24B8D2BF, 0x15C1B79E, 0x4652564, ΟΚΕΒΡΤΕΡΗΕ, 0x3E378160, 

Ox 7895CDA5, 0x859C15A5, OxE6459788, 0xC37BC75F, O«DBOTBAOC, 0x0676A3AB, 
Ox TE229BIE, 0x31842E7B, 0x24259FD7, OxFEBEF472, OxX835FFCB8, 0x6DF4C1F2, 
Ox96F5B195, OXFDOAFÜFC, 0xBOFE134C, 0xE2506D3D, Ox4F9BI?FA, OxF215F225, 
0xA223736F, 0x9FB4C428, 0x25D04979, 0x34C713E8, 0xC4618187, OxEA7AGE98, 

OX CDL EFC, 0x1436876C, 0xF1544107, OxBEDEFE]4, 0x5GE9AF2 7, OXA04AA441, 
0x3CE7C899, 0x92ECBAE6, 0xDD6701€D, 0x151682FB, ΟΧΑΘΑΖΕΕΓΕ, 0xFDBA60B4, 
OxF1907B75, 0x20E:3030F, 0x24D8C29E,, 0xE139673B, OxEFAG3FB8, 0x71873054, 

0ΧΒΘΕΖΟΕΞΒ, 0x9F326442, OxCB15A40C, 0xB01A4504, 0xF1E47D8D, 0x844A1BES, 
OxBAE7DEDC, 0%42CBDA70, OxCD7DAEOA, 0x57E85B7A, 0xD53FSAF6, 0x20CF4D8C, 
OxCEA4D428, 0x 79D130A4, 0x3486EBEB, 0x33D3CDDC, 0x77853B53, 0x37EFECBS, 
0xC5068778, OxESSOB3E6, 0x4E68B8F4, OxCSCEB37E, ΟΚΟΡΒΟΞΕΆ2, 0x398EEB7C, 
Ox132M4F94, 0%43B7950E, 0x2FEE7DIC, 0x223613BD, OxDDOECAA2, 0x37DF932B, 
0x0 4248289, OxXACF3EBC3, 0x5715FGB7, OxEF3478DD, OxF267616F, O«C148CBEA, 
0x9052815E, 0x5E410FAB, 0xB48A2465, 0x2EDATEA4, OxES7BAOEA, OxE98EA084, 
0x5889E9E1, OxEFD390EC, 0xDD07D35B, OxDBA85694, Ox38D7ESB2, 0x57720101, 

0x730EDEBC, 0x5B643113, 0x94917E4F, 0x503C2FBA, 0x646F1282, 0x7523D24A, 

0x07 19695, OxF9C17A8F, OX7A5B2121, 0xD187B896, 0x29263A4D, OxBASLOCDE, 

Ox81F47C9F, 0xAD11€3ED, 0xEA7B5965, 0x1A00726E, 0x11403092, 0x00DA6D77, 

Ox4A0CDD61, OxADIF4603, Ox605BDEBO, Ox9FEDC364, Ox22FBEGAB, OxCEE7D28A, 
OxA0E736A0, 0x5564A6B9, 0x10853209, OxC7EBSE37, 0x2DE70SCA, 0x8951570F, 

OxDF09822B, OXBD691A6C, OxAA12EAF2, 0x8 7451COF , OXEOFGA2 7A, 0x3ADA4819, 
Ox4CF1764F, 0x0D77102B, 0x67CDB156, 0x350D8384, 0x5938FA0F,, 0%42399RF3, 

0x36997B07, 0x0E84093D, Ox4AA93E61 , 0x8360D8 7B, Ox 1FA98BOC, 0x1149382C, 

Ox&S97625A5, 0x0614D1B7, Ox0E25244B, 0x0C 768341, 0x589P8D82, 00D2059D1, 

OxA466BBIE, ΟΧΕΈΓΔΩΆΒΟ, 0x04F19130, ΟΧΒΔΘΞΑΕΓΌ, 0x99265164, Ox TEE 7230D, 

Ox50B2AD80, OXEAFE6801, 0x8DB2A283, OXEABBESGE:] ) ; Z/S 
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8.3 习题 与 实践 题 


8.3.1 习题 


1. 简要 说 明 CAST-128 加 密 算 法 的 轮 运算 中 F 函数 运算 过 程 的 基本 原理 。 
2. 试 描述 CAST-128 加 密 算 法 的 加 密 和 解密 过 程 。 


8.3.2 实践 题 


编程 实现 CAST-128 加 密 算法 ,要 求 : 待 加 密 的 消息 从 文件 中 读 取 ,加 密 后 的 消息 存储 
到 文件 ,经 过 解密 后 得 到 的 消息 存储 到 相应 的 文件 ,并 比较 加 密 前 的 消息 和 加 密 后 的 消息 ， 
判断 是 否 正确 解密 消息 。 


分 组 密码 模式 


分 组 密码 是 在 明文 分 组 和 密 文 分 组 上 进行 运算 ,如 果 对 相同 的 明文 分 组 进行 加 密 得 到 
的 密 文 分 组 也 将 完全 相同 。 

密码 模式 通常 由 基本 密码 ,反馈 或 其 他 一 些 简 单 的 运算 组 成 。 一 些 密码 模式 起 到 隐藏 
明文 和 密 文 关 系 的 作用 ,但 加 密 过 程 的 安全 性 主要 依赖 于 加 密 算法 的 安全 性 ,同时 密码 模式 
不 能 破坏 加 密 过 程 的 安全 性 。 在 选择 密码 模式 时 还 需要 考虑 密码 模式 的 效率 ,密码 模式 至 
少 不 能 明显 地 降低 加 密 和 解密 的 效率 。 


9.1| 电子 密码 本 模式 


电子 密码 本 模式 (Electronic Code Block,ECB) 又 称 为 电码 本 模式 ,在 加 密 过 程 中 将 明 
文 分 割 成 相同 长 度 的 分 组 ,然后 进行 加 密 。 解 密 过 程 与 加 密 过 程 的 方法 相同 。 电 码 本 的 加 
密 和 解密 的 具体 过 程 如 图 9-1 所 示 。 


1 C C, 


P, P, P, G 
iris Mies - iis iin iiy … Kors 
a C; C, P. P; P, 
(a)ECB 加 密 过 程 (b) ECB 解 密 过 程 
图 9-1 电码 本 工作 模式 


电码 本 的 加 密 和 解密 的 工作 模式 也 可 以 描述 为 

C; = EC) 

|» = D(C) 

在 电码 本 加 密 过 程 中 ,大 多 数 消 息 的 长 度 并 不 是 分 组 长 度 的 整数 倍 , 通 常 最 后 一 个 分 组 

为 短 分 组 ,因此 常常 需要 对 最 后 一 个 分 组 进行 填充 以 达到 分 组 的 长 度 。 一 般 的 填充 方法 是 

填充 0 或 1, 或 0 和 1 交替 填充 ,把 最 后 一 个 分 组 填充 为 一 个 完整 的 分 组 。 也 可 以 在 填充 前 

加 一 个 结束 标志 ,然后 再 进行 填充 ,使 用 这 种 填充 方法 在 解密 的 时 候 方便 将 填充 的 数据 删 
除 , 以 达到 正常 还 原 数据 的 目的 。 

电码 本 加 密 模式 简单 有 效 ,方便 进行 并 行 加 密 。 但 它 不 能 隐藏 明文 的 加 密 信息 ,相同 的 

明文 总 是 得 到 相同 的 密 文 ,在 传递 太 多 的 信息 时 ,容易 给 攻击 者 提供 攻击 的 机 会 。 同 时 ,在 


(i 二 1,2,… sn;n 为 分 组 数目 ) (9-1) 


9.2 密码 分 组 链接 模式 


传递 密 文中 ,如 果 密 文 的 某 个 分 组 的 位 数 发 生变 化 时 会 影响 其 后 密 文 的 解密 。 因 此 ,电码 本 
模式 比较 适合 于 传输 短 消息 。 

由 于 电码 本 模式 的 加 密 和 解密 过 程 都 是 针对 各 分 组 单独 进行 ,因此 电码 本 模式 的 加 密 
和 解密 的 过 程 都 可 以 采用 并 行 计算 的 方法 进行 。 


9.2 


密码 分 组 链接 模式 


在 密码 分 组 链接 模式 (Cipher Block Chaining,CBC) 中 引入 了 反馈 机 制 ,每 组 密 文 不 仅 
与 当前 的 明文 相关 ,还 与 前 面 的 各 组 明文 或 生成 的 密 文 相关 。 每 一 组 的 分 组 加 密 结果 反馈 
到 下 一 组 的 加 密 ,使 得 每 一 组 的 密 文 不 仅 依赖 于 当前 的 明文 ,还 依赖 于 上 一 组 的 密 文 ,有 效 
克服 了 电码 本 模式 中 相同 明文 分 组 加 密 得 到 相同 密 文 分 组 的 缺点 。 密 码 分 组 链接 模式 的 加 
密 和 解密 过 程 如 图 9-2 所 示 。 


ci Cs af P. Py. 
(a) CBC 加 密 过 程 (b) CBC 解 密 过 程 


图 9-2 密码 分 组 链接 模式 的 加 密 和 解密 过 程 


密码 分 组 链接 模式 的 加 密 过 程 可 以 描述 为 


C; = E(P, IV) 


C; = EKCa BP) G= 2.35. "M 
如 果 分 组 起 始 的 索引 为 1, 那 么 密码 分 组 链接 模式 的 加 密 过 程 可 以 描述 为 
C=C, OP): G 21V (9-3) 
密码 分 组 链接 模式 的 解密 过 程 可 以 描述 为 
P, = DO) DIV 
PADEC η) me 
如 果 分 组 起 始 的 索引 为 1, 那 么 密码 分 组 链接 模式 的 解密 过 程 可 以 描述 为 
P; = D(C) O Cas G = IV (9-5) 


在 密码 分 组 链接 模式 中 , 当 一 组 密 文 发 生 错误 时 会 影响 下 一 组 密 文 的 解密 ,但 再 接 下 来 
一 组 密 文 的 解密 不 会 受到 影响 。 但 在 密 文中 丢失 位 数 时 ,车 不 是 丢失 整个 分 组 的 位 数 , 那 么 
后 续 所 有 的 密 文 组 都 会 受到 影响 ,因此 在 使 用 过 程 中 需 确 保 整 个 密码 结构 的 完整 。 

由 于 在 加 密 过 程 中 前 一 分 组 和 后 一 分 组 之 间 存 在 关联 ,现在 还 没有 合适 的 方式 进行 并 


“441, 
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行 计算 。 但 由 于 在 解密 过 程 中 一 个 分 组 的 错误 只 会 影响 下 一 分 组 的 解密 ,而 不 会 影响 再 下 
一 分 组 的 解密 ,因此 在 解密 过 程 中 可 以 使 用 并 行 的 方法 进行 解密 。 


9.3| 明文 密码 分 组 链接 模式 


明文 密码 分 组 链接 模式 (Plaintext Cipher-block Chaining,PCBC) 又 称 为 传播 密码 分 组 
链接 模式 (Propagating Cipher-block Chaining) ,是 在 密码 分 组 链接 模式 上 发 展 而 来 的 。 明 
文 密码 分 组 链接 模式 是 将 明文 和 密 文 异 或 后 用 于 下 一 组 明文 的 加 密 , 明 文 密码 分 组 链接 模 
式 的 加 密 和 解密 过 程 如 图 9-3 所 示 。 


Ρι P P, Ci Ce G 
IV: 
KN K> 加 密 K> 加 密 K 解密 K 一 | 解密 K 解密 
Iv 
G C 6, P, P. P, 
(a) PCBC 加 密 过 程 (b)PCBC 解 密 过 程 


图 9-3 ”明文 密码 分 组 链接 模式 


如 果 分 组 起 始 的 索引 为 1, 那 么 明文 密码 分 组 链接 模式 的 加 密 和 解密 过 程 可 以 描述 为 

C, = E,(P; Q Pa C) 

, Ῥθω- (9-6) 

σος. ος S si 

在 明文 密码 分 组 链接 模式 中 ,由 于 加 密 和 解密 过 程 中 均 用 到 上 一 组 的 明文 和 密 文 ,因此 

明文 密码 分 组 链接 模式 的 加 密 和 解密 均 不 能 常用 并 行 计算 的 方法 。 明 文 密码 分 组 链接 模式 
目前 主要 用 于 Kerberos v4 网 络 协议 中 。 


9.4 密码 反馈 模式 


密码 反馈 模式 (Cipher Feedback,CFB) 是 与 密码 分 组 链接 模式 最 为 接近 的 一 种 加 密 模 
式 , 在 加 密 过 程 中 将 分 组 加 密 为 一 密 钥 流 , 其 加 密 的 方法 就 如 同 倒置 的 密码 分 组 链接 模式 ， 
按照 分 组 长 度 的 简化 密码 反馈 模式 的 加 密 和 解密 过 程 如 图 9-4 所 示 。 
如 果 分 组 起 始 索 引 为 1, 那 么 密码 反馈 模式 的 加 密 和 解密 过 程 可 以 描述 为 
C; = E (Ca) @ P; 
P = E,(C,,,) OC," 
密码 反馈 模式 不 仅 可 以 按照 分 组 长 度 大 小 进行 加 密 和 解密 ,还 可 以 按照 比分 组 长 度 更 
小 的 长 度 进行 加 密 , 例 如: 1-bit CFB、8-bit CFB、64-bit CFB、128-bit CFB 等 。 


C, = IV (9-7) 


Iv 


分 组 加 密 
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(b) 简化 CR B 脱 密 过 程 


图 9-4 简化 密码 反馈 


模式 的 加 密 和 解密 过 程 


假设 明文 的 分 组 长 度 为 位, 加密 分 组 长 度 为 5 位 ,初始 化 IV 的 长 度 为 上 位 ,密码 反馈 


模式 的 加 密 和 解密 过 程 如 图 9-5 所 示 。 


IV IV 
& a "m bir 
b-sls b-sls b-sls 
Im ση πα 
EL 加 密 
{= y 
选择 | 丢弃 选择 | 丢弃 d EK 
sf bp-s 位 sf En. m, b- shit 
σι Cz P. 
(a) CFB 加 密 过 程 (b) CFB 解 密 过 程 
图 9-5 密码 反馈 模式 的 加 密 和 解密 过 程 
密码 反馈 模式 的 加 密 过 程 可 以 描述 为 
I = IV 
I, = LSB (I) || Cis i= 253,050 
(9-8) 
O, = E,GD. i= 1,2;,=" n 
C, = P; Q MSB, (O;) , i= Tr asp 


密码 反馈 模式 的 解密 过 程 可 以 描述 为 
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LI = IV 
I, Ξ15Β,.{1ἑι} || Cory i= 253,090 
O, = E.G); i—12,m NUM 
P =G MSB(OD, -t= 
式 中 : IV 表示 初始 向 量 ,LSB 表示 最 低 有 效 位 ,MSB 表示 最 高 有 效 位 ,| | 表示 连接 。 
密码 反馈 模式 的 加 密 过 程 如 下 : 


CD 将 5 位 IV 初始 向 量 存 人 移 位 寄存 器 ,作为 下 一 步 的 输入 。 

(2) 对 输入 2 位 数据 进行 加 密 , 输 出 2 位 数据 。 

(3) 取 最 高 有 效 位 s 位 数据 与 明文 进行 异 或 运算 ,得 到 密 文 。 

(4) 将 移 位 寄存 器 左 移 ;位 ,将 步骤 (3) 得 到 的 密 文 填充 到 移 位 寄存 器 的 最 低 有 效 
位 s 位 。 

O 重复 步骤 (2) 到 (4) 直 到 所 有 明文 加 密 完 毕 。 

密码 反馈 模式 的 解密 过 程 如 下 : 

CD 将 5 位 IV 初始 向 量 存 人 移 位 寄存 器 ,作为 下 一 步 的 输入 。 

(2) 对 输入 5 位 数据 进行 加 密 ,输出 2 位 数据 。 

(3) 取 最 高 有 效 位 s 位 数据 与 密 文 进行 异 或 运算 ,得 到 明文 。 

CD 将 移 位 寄存 器 左 移 ;位 ,使 用 步骤 (3) 得 到 的 密 文 填充 到 移 位 寄存 器 的 最 低 有 效 
位 s 位 。 

(5) 重复 步骤 (2) 到 (4) 直 到 所 有 密 文 解密 完毕 。 

密码 反馈 模式 有 效 隐藏 了 明文 的 加 密 模 式 , 但 由 于 在 加 密 过 程 中 使 用 了 上 一 步 加 密 得 
到 的 密 文 作为 移 位 寄存 器 的 输入 ,因此 密码 反馈 模式 目前 尚 无 合适 的 并 行 计算 方法 。 密 码 
反馈 模式 在 解密 过 程 中 1 位 的 错误 仅 会 对 b/s H1 个 密 文 的 解密 产生 影响 ,因此 密码 反馈 模 
式 可 以 采用 并 行 计算 的 方法 进行 解密 。 


9.5, 输出 反馈 模式 


输出 反馈 模式 (Output Feedback,OFB) 的 加 密 方式 与 密码 反馈 模式 的 加 密 过 程 类 似 ， 
在 加 密 的 过 程 中 是 将 加 密 后 的 数据 作为 反馈 输入 到 下 一 步 ,而 不 是 将 加 密 后 的 密 文 作为 下 
一 步 的 输入 。 输 出 反馈 模式 的 加 密 过 程 中 也 需要 初始 向 量 IV. 作为 第 一 步 的 输入 ,输出 反 
馈 模 式 完整 的 加 密 和 解密 过 程 如 图 9-6 所 示 o 

输出 反馈 模式 的 加 密 过 程 可 以 描述 为 


L =IV 

I; = Οχι» i = 2.3.68 

O, = EC. i= 101.2.-.n (9-10) 
C, —P,QO, i= 1,2,-+,n—1 


C, = P, @ MSB,(O,) 
输出 反馈 模式 的 解密 过 程 可 以 描述 为 


9.6 计数 器 模式 


选择 | EFF 
s 位 ib- shit 


G P2 
(a) 0FB 加 密 过 程 (b) OFB 解 密 过 程 


图 9-6 输出 反馈 模式 的 加 密 和 解密 过 程 


I, = IV 

I = Om» i= 2,3,,n 

O, = EGO: i= 1,2,04n (9-11) 
P, = C, @O,, i=1,2,--,n—1 


P, = C, @ MSB,(O,), 

输出 反馈 模式 的 加 密 过 程 如 下 : 

CD 将 2 位 s 初 始 向 量 存 人 移 位 寄存 器 ,作为 下 一 步 的 输入 。 

(2) 对 输入 2 位 数据 进行 加 密 , 输 出 2 位 数据 。 

(3) 取 最 高 有 效 位 s 位 数据 与 明文 进行 异 或 运算 ,得 到 密 文 。 

(4) 将 移 位 寄存 器 左 移 s 位 ,将 步骤 (2) 得 到 的 输出 取 最 高 有 效 位 s 位 填充 到 移 位 寄存 
器 的 最 低 有 效 位 s 位 。 

(5) 重复 步骤 (2) 到 (4) 直 到 所 有 明文 加 密 完毕 。 

输出 反馈 模式 的 解密 过 程 如 下 : 

CD 将 5 位 s 初 始 向 量 存 人 移 位 寄存 器 ,作为 下 一 步 的 输入 。 

(2) 对 输入 2 位 数据 进行 加 密 , 输 出 5 位 数据 。 

(3) 取 最 高 有 效 位 s 位 数据 与 密 文 进行 异 或 运算 ,得 到 明文 。 

(4) 将 移 位 寄存 器 左 移 * 位 ,将 步骤 (2) 得 到 的 输出 取 最 高 有 效 位 s 位 填充 到 移 位 寄存 
器 的 最 低 有 效 位 s 位 。 

(5) 重复 步骤 (2) 一 步骤 (4) 直 到 所 有 密 文 解 密 完 

输出 反馈 模式 的 加 密 和 解密 过 程 到 目前 为 止 尚 无 合适 的 并 行 计 算 方 法 。 


9.6| 计数 器 模式 


计数 器 模式 (Counter,CTR) 是 将 一 系列 计数 器 的 值 作为 输入 应 用 到 加 密 过 程 中 ,将 该 
值 使 用 密 钥 进 行 加 密 后 与 明文 进行 异 或 得 到 密 文 。 计 数 器 模式 的 加 密 是 针对 计数 器 的 值 进 
行 加 密 , 计 数 器 模式 的 加 密 和 解密 的 过 程 如 图 9-7 所 示 。 
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计数 器 1 计数 器 2 T Ha a η 


Dne ] ΕΠ "e mE 


SERERE 


C1 C 
(a) CTR 加 密 过 程 ορ 
图 9-7 计数 器 模式 的 加 密 和 解密 过 程 
计数 器 模式 的 加 密 过 程 可 以 描述 为 
O, = Ει(Τ/), i = 1,2,° 5n 
C, = P, @O,, i= 1,2,--,n—1 (9-12) 
C, = P, @ MSB,(O,), 


计数 器 模式 的 解密 过 程 可 以 描述 为 


O, = ΕΙ (ΤΙ). i—1,2,-.n 
P, = C, @O,, i= 1,2,-*,n—1 (9-13) 
P, = C, ® MSB, (O,) 


Hop: T, 是 计数 器 序列 ,MSB 是 指 最 高 有 效 位 。 

对 于 加 密 过 程 的 最 后 一 个 分 组 ,其 长 度 可 能 小 于 分 组 的 长 度 ,因此 针对 最 后 一 个 分 组 的 
特点 ,在 加 密 过 程 中 将 最 后 一 个 计数 器 的 解密 结果 取出 与 最 后 一 个 分 组 长 度 相 等 的 数据 即 
可 ,与 明文 异 或 后 得 到 相同 长 度 的 密 文 。 在 计数 器 模式 的 解密 过 程 中 最 后 一 组 数据 的 处 理 
方法 与 加 密 过 程 中 最 后 一 组 数据 的 处 理 方法 相同 。 

根据 计数 器 模式 的 加 密 和 解密 方式 可 以 看 出 ,计数 器 模式 的 加 密 和 解密 过 程 均 适合 于 
并 行 计算 。 


9.7 Hi 


在 大 多 数 的 加 密 模式 中 都 存在 数据 填充 的 问题 ,通过 数据 填充 可 以 将 明文 分 割 为 任意 
长 度 的 分 组 ,以 适应 相应 的 加 密 算法 。 

数据 填充 的 方法 有 很 多 种 ,最 简单 的 方法 是 在 数据 的 尾部 添加 1, 然 后 将 其 余 不 足 的 部 
分 全 部 添加 0。 

例如 ,有 32 位 的 分 组 ,最 后 一 个 分 组 的 消息 长 度 为 23 位 ,那么 这 个 消息 的 填充 过 程 
AT: 

.. | 1011 1001 1101 0100 0010 0111 0000 0000 | 

其 中 : 最 后 9 位 为 填充 的 数据 ,最 后 第 9 位 填充 1, 其 余 填充 0。 

美国 国家 标准 学 会 (American National Standards Institute, ANSI) 提出 的 填充 标准 
ANSIX. 923 的 填充 方法 为 : 在 最 后 一 个 分 组 的 最 后 一 个 字 节 填充 需要 填充 的 字 节 量 ,而 在 
其 余 的 位 置 填充 00。 


9.7 填充 


例如 ,以 下 为 8 个 字 节 大 小 的 分 组 ,DD 表示 数据 ,最 后 一 个 字 节 04 表示 总 共 需 要 填充 
4 个 字 节 的 数据 ,其 余 填 充 00。 其 中 00.04 等 为 十 六 进 制 数 。 
... | DD DD DD DD DD DD DD DD | DD DD DD DD 00 00 00 04 | 
国际 标准 化 组 织 (International Organization for Standardization, ISO) 提出 的 填充 标 
WE ISO 10126 的 填充 方法 为 : 在 最 后 一 个 分 组 的 最 后 一 个 字 节 填充 需要 填充 的 字 节 量 , 而 
在 其 余 的 位 置 填充 随机 字 节 。 
例如 ,以 下 为 8 个 字 节 大 小 的 分 组 ,DD 表示 数据 ,最 后 一 个 字 节 04 表示 总 共 需 要 填充 
4 个 字 节 的 数据 ,其 余 3 个 字 节 为 填充 随机 数 。 其 中 数据 的 表示 为 十 六 进 制 数 。 
... | DD DD DD DD DD DD DD DD | DD DD DD DD 81 A6 23 04 | 
消息 加 密 的 语法 标准 PKCS7 提出 的 填充 方法 为 : 根据 需要 填充 的 字 节 数 来 进行 填充 ， 
若 需 要 填充 5 个 字 节 ,那么 在 最 后 一 个 需要 填充 分 组 的 尾部 填充 5 个 05( 十 六 进 制 ) ,具体 
的 填充 方法 为 如 下 之 一 : 
01 
02 02 
03 03 03 
04 04 04 04 
05 05 05 05 05 
例如 ,以 下 为 8 个 字 节 大 小 的 分 组 ,在 最 后 一 个 分 组 中 需要 填充 4 个 字 节 的 数据 ,那么 
填充 的 结果 如 下 : 
... | DD DD DD DD DD DD DD DD | DD DD DD DD 04 04 04 04 | 
最 后 4 个 字 节 的 填充 数据 均 为 04。 
国际 标准 化 组 织 和 国际 电工 委员 会 (ISO/IEC) 在 2005 年 制定 的 ISO/IEC 7816-4 标准 
中 规定 : 在 需要 填充 的 分 组 的 尾部 字 节 填充 80( 十 六 进 制 ) ,后 续 部 分 全 部 填充 00( 十 六 进 
制 )。 
例如 ,以 下 为 8 个 字 节 大 小 的 分 组 ,在 最 后 一 个 分 组 中 需要 填充 4 个 字 节 的 数据 ,那么 
填充 的 结果 如 下 : 
... | DD DD DD DD DD DD DD DD | DD DD DD DD 80 00 00 00 | 
如 果 只 有 一 个 字 节 需要 填充 ,那么 填充 的 方法 如 下 : 
... | DD DD DD DD DD DD DD DD | DD DD DD DD DD DD DD 80 | 
除 以 上 所 述 填充 方法 之 外 ,国际 标准 化 组 织 和 国际 电工 委员 会 还 制定 用 于 HASH 和 
MACs 的 ISO/IEC 10118-1 和 ISO/IEC 9797-1 的 标准 ,该 标准 是 在 需要 填充 的 分 组 后 面 全 
部 填充 00。 
例如 ,以 下 为 8 个 字 节 大 小 的 分 组 ,在 最 后 一 个 分 组 中 需要 填充 4 个 字 节 的 数据 ,那么 
填充 的 结果 如 下 : 
... | DD DD DD DD DD DD DD DD | DD DD DD DD 00 00 00 00 | 
全 “00” 的 填充 方法 存在 一 定 的 缺陷 , 即 : 不 能 明确 区 分 分 组 数据 和 填充 数据 ,因此 其 使 
用 范围 有 相当 的 局 限 性 。 
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9.8 习题 与 实践 题 


9.8.1 习题 


.简要 说 明 电子 码 本 模式 的 基本 工作 原理 。 

.简要 说 明 密码 分 组 链接 模式 的 基本 工作 原理 。 

. 简要 说 明明 文 密码 分 组 链接 模式 的 基本 工作 原理 。 
. 简要 说 明 密码 反馈 模式 的 基本 工作 原理 。 

. 简要 说 明 输 出 反馈 模式 的 基本 工作 原理 。 

.简要 说 明 计数 器 模式 的 基本 工作 原理 。 


9.8.2 实践 题 


1. 在 加 密 过 程 中 经 常会 遇 到 待 加 密 消 息 的 长 度 不 是 加 密 方式 所 需 长 度 的 整数 倍 , 此 时 
需要 对 待 加 密 的 消息 进行 填充 , 现 使 用 最 简单 的 填充 算法 , 即 在 消息 的 最 后 附加 “1”, 而 其 余 
部 分 附加 “0” 的 方法 对 数据 进行 填充 ,假设 输入 的 消息 不 足 64 位 , 试 采用 上 述 的 填充 算法 对 
消息 进行 填充 ,再 使 用 DES 加 密 算法 对 填充 后 的 数据 进行 加 密 , 并 对 加 密 后 的 数据 进行 
解密 。 

提示 : 对 加 密 后 的 数据 需 还 原 至 明文 ,此 时 需 先 去 掉 附 加 的 填充 数据 。 否 则 解密 后 的 
文件 将 与 原 消 息 不 同 。 

2. 对 1 题 中 的 加 密 过 程 进行 进一步 改造 ,要 求 采用 密码 分 组 链接 模式 对 输入 的 任意 长 
度 的 消息 进行 加 密 ,使 用 的 加 密 方 法 仍然 为 DES 加 密 算法 。 

3. 美国 国家 标准 学 会 提出 的 填充 标准 是 在 最 后 一 位 填充 总 共 填 充 数据 字 节 数 ,其 余部 
分 填充 “0”, 试 采用 该 填充 方法 对 待 加 密 的 消息 进行 填充 ,并 使 用 AES 加 密 算法 进行 加 密 和 
解密 ,输入 数据 的 长 度 小 于 分 组 的 长 度 。 

4. 使 用 PKCS? 提出 的 填充 算法 对 待 加 密 的 数据 进行 填充 ,使 用 的 加 密 模式 为 密码 反 
馈 模式 ,使 用 的 加 密 方 法 为 IDEA 加 密 算法 。 试 完成 该 程序 。 

提示 : 当 待 加 密 的 数据 正好 是 分 组 长 度 的 整数 倍 时 仍然 需要 填充 ,此 时 填充 的 字 节 数 
正好 是 分 组 的 长 度 。 
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Α 8 法 


A5 算法 是 欧洲 GMS(Group Special Mobile) 标 准 中 规定 的 加 密 算 法 ,用 于 数字 蜂窝 移 
动 电话 的 加 密 。A5 算法 属于 典型 的 LFSR( 线 性 反馈 移 位 寄存 器 ) 序 列 密 码 算法 或 流 密码 
算法 ,目前 主要 有 两 个 版 本 : 强 安全 性 的 A5/1 算法 和 弱 安 全 性 的 A5/2 算法 。 


10.1, 序列 密码 原理 


10.1.1 基本 原理 


现代 对 称 密码 主要 包括 分 组 密码 和 序列 密码 。 分 组 密码 是 将 明文 分 为 固定 的 长 度 ,而 
每 一 组 是 使 用 同一 个 密 钥 来 进行 加 密 变换 。 而 序列 密码 则 是 采用 序列 密 钥 来 加 密 明 文 序 
列 。 例 如 ,存在 明文 序列 m=mm em, ALR = sosi sn ,对 于 明文 符号 m RARS s; 进行 
加 密 , 其 加 密 过 程 可 以 描述 为 
E,(m) = E, Gn) E, Gn jE, (M,a) = cocl…Cn (10-1) 
序列 密码 算法 可 以 分 为 同步 序列 密码 算法 和 异步 序列 密码 算法 ,如 图 10-1 所 示 。 


HARER 


(a) 同步 序列 密码 (b) 异步 序列 密码 
图 10-1 序列 密码 算法 示意 图 


同步 序列 密码 算法 仅 依赖 于 输入 的 密 钥 &, 而 异步 序列 密码 算法 不 仅 依赖 于 输入 的 密 
钥 , 同 时 还 依赖 于 输出 的 密 文 。 
序列 密码 算法 的 解密 和 解密 过 程 都 采用 XOR 操作 ,并且 都 是 针对 单独 的 位 进行 运算 。 
加 密 和 解密 的 算法 相同 ,计算 方法 见 式 (9-2) : 
ci 一 E, (mi) = Gn; + s)mod 2 
m, = D, (c) = (c; +s;)mod 2 
加 密 和 解密 的 转换 过 程 如 下 : 


(10-2) 
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D, (c= (ci + si)mod 2 = (mi + s; + si) mod 2 
= (Gn; + 2s;)mod 2 = m;mod 2 
示例 10-1. 有 ASCI 编码 表 的 字母 5B” , FEB” HY — HE | 34 3 29 01000010 , (B Be JI BF 
密 钥 为 00101100 ,那么 加 密 和 解密 的 过 程 如 下 


(10-3) 


mg***m; = 01000010 Co***c; = 01101110 

Φ > Φ (10-4) 
so…s7 = 00101100 so sss; = 00101100 
Co***c; = 01101110 mom; = 01000010 


由 于 序列 密码 算法 的 加 密 和 解密 过 程 完 全 相同 ,因此 序列 密码 算法 的 安全 性 完全 取决 
于 密 钥 流 。 生 成 的 序列 密 钥 最 好 是 随机 序列 ,使 得 密码 攻击 者 不 容易 对 密 钥 流 进行 攻击 。 
在 实际 应 用 中 通常 使 用 伪 随 机 数 序列 生成 器 来 生成 伪 随 机 数 序列 ,并 用 于 生成 序列 密码 算 
法 的 密 钥 流 。 伪 随机 数 生成 的 基本 原理 可 以 用 式 (10-5) 描 述 : 


So = seed. sa = γί). i= 0,1,- (10-5) 
一 个 比较 典型 的 生成 方法 是 线性 同 余生 成 法 ,其 生成 原理 如 下 : 
So = seed, 544 = as; +b mod m, i-—0,1,:- (10-6) 


其 中 : abem 为 常量 。 

伪 随 机 数 生成 器 生成 的 随机 数 越 接 近 真 实 的 随机 数 越 好 ,目前 序列 密 钥 生成 中 常 使 用 
移 位 寄存 器 来 生成 序列 密 钥 ,例如 在 AS 算法 中 使 用 的 就 是 使 用 线性 反馈 移 位 寄存 器 
(Linear Feedback Shift Regisger,LFSR) 来 生成 所 需 的 密 钥 。 


10.1.2 线性 反馈 移 位 寄存 器 
线性 移 位 反馈 寄存 器 主要 包括 触发 器 和 反馈 路 径 两 部 分 ,线性 反馈 移 位 寄存 器 的 存储 


单元 的 数量 一 般 称 为 度 ,包含 m 个 触发 器 的 线性 反馈 
输出 
移 位 寄存 器 一 般 称 为 m 级 线性 反馈 移 位 寄存 器 ， 5 
图 10-2 是 一 个 简单 的 5 级 线性 反馈 移 位 寄存 器 : VY 
= ph. T 3 NU 
: 图 中 的 b 表示 相应 的 位 ,bs 和 b; 位 置 也 被 称 为 图 10.2 简单 的 线性 反馈 着 亿 兰 存 器 
抽 头 序列 。 
示例 10-2 ΑΕΙ 10-5 的 初始 化 值 为 11111 ,那么 其 运行 过 程 如 下 ， 


clk bs b, b; b b 


«Ὁ ο0 - ση σι kuone 5 
=° ο = = ο = °. 


° 
=e e = = 6: 6 = mm 
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在 第 0 次 运算 中 ,bs 和 bs 进行 “ 异 或 "运算 ,得 到 的 结果 作为 bs ,bs 为 原 bs ,bs 为 原 by 。 
以 此 类 推 ,最 后 ,b, 作为 输出 ,其 输出 的 序列 为 11111010110… 。 

示例 10-3 ”图 10-3(a) 是 线性 反馈 移 位 寄存 器 的 另 一 种 表示 方法 , 它 的 作用 与 图 10-3(b) 
相同 。 


Te} it bE [9 [5 > tit 


(a) (b) 
图 10-3 一 种 3 级 线性 反馈 移 位 寄存 器 


该 线性 反馈 移 位 寄存 器 的 运行 过 程 如 下 : 


clk b, b; b, 
0 1 0 0 
1 0 1 ο 
2 1 0 1 
3 1.1. Ὁ 
4 P od d 
5. 0 T 1 
6 0 0 1 
7 1 0. 0 
8 0 1 0 


在 该 线性 反馈 移 位 寄存 器 中 ,by 和 b, 作为 抽 头 序列 ,将 b, 和 b,“ 异 或 ”的 结果 作为 b， 
的 输入 ,b 作为 输出 。 

在 运行 到 第 6 个 时 钟 周期 之 后 开始 循环 ,其 输出 的 长 度 为 7( 包 含 初始 值 的 输出 周期 ) ， 
那么 这 个 线性 反馈 移 位 寄存 器 的 输出 为 

0010111 0010111 0010111 … 

通常 通过 引 和 多项式 来 描述 线性 反馈 移 位 寄存 器 , 见 公式 (10-7) : 

P(x) = z" + Ρα ο ++ pz + po (10-7) 
该 多 项 式 也 被 称 为 关联 多 项 式 或 联系 多 项 式 。 

n 位 线性 反馈 移 位 寄存 器 的 最 大 输出 周期 理论 上 可 以 达到 2" ,由 于 全 零 移 位 寄存 器 将 
循环 输出 零 序 列 , 没 有 任何 意义 ,因此 可 能 输出 的 最 大 周期 为 2 一 1, 只 有 特定 的 抽 头 序列 
才能 通过 所 有 的 2 一 1 个 内 部 状态 ,同时 抽 头 序列 加 参数 1 形成 的 多 项 式 必须 是 本 原 多 项 
式 模 2。 标 记 为 (5,2,0) 的 本 原 多 项 式 是 指 多 项 式 x 十 x? 十 1, 可 以 用 以 线性 反馈 移 位 寄存 
器 的 常用 本 原 多 项 式 见 表 10-1。 

表 10-1 可 用 于 获得 最 大 输出 周期 的 本 原 多 项 式 

(2.1.0) (24,4,3,1,0) (46.1.0) (68.7.5.1.0) (90,553,250) (112,5,4,3,0) 

(3.1.0) (25.3.0) (47.5.0) (69.6.5.2.0) (91,8,5,1,0) (113,5,3,2,0) 

(4,1,0) (26.4.3.1.0) (48.5.3.2.0) (70,5,3,1,0) (92,6,5,2,0) (114,5,3,2,0) 
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续 表 
(5,2,0) (27,5,2,1,0) (49,6,5,4.0) (71,5,3,1,0) (93,2,0) (115,8,7,5,0) 
(6,1,0) (28,1,0) (50,4,3,2,0) | (72,10,9,3,0) | (94,6,5,1,0) | (116,4,2,1,0) 
(7,1,0) (29,2,0) (51.6.3.1.0) (73.4.3.2.0) (95.11.0) (117.5.2.1.0) 
(8.4.3.1»0) (30.1.0) (52.3.0) (74,6,2,1,0) | (96,10,9,6,0) | (118.6.5.2.0) 
(9,1,0) (31,3,0) (53,6,2,1,0) (75,6,3,1,0) (97,6,0) (119,8,0) 
(10.3.0) (32,7,3,2,0) (54.8.6.3.0) (76.5.4.2.0) (98.7.4.3.0) | (120.4.3.1.0) 
(11,2,0) (33,6.3,1,0) (55.6.2.1.0) (77,6,5,2,0) (99,6,3,1,0) | (121,8,5,1,0) 
(12.3.0) (9494999190) (56.7.4.2.0) (78,7,2,1,0) | (100,6,5,2,0) | (122.6.2.1.0) 
(13,4,3,1,0) (35,2,0) (51.4.0) (79,4,3,2,0) | (101,7,6,1,0) (123,2,0) 
(14,5,0) (36.5.4.2.0) (58.6.5.1.0) (80.9.4.2.0) | (102.6.5.3.0) (24.31.0) 
(15,1,0) (37,6,4,1,0) (59,7,4,2,0) (81,4,0) (103,9,0) (125,7,6,5,0) 
(16,5,3,1,0) (38,6,5,1,0) (60.1.0) (82.9.6.4.0) | (104.4.3.1.0) | (126.1.4.2.0) 
(17.3.0) (39.4.0) (61.5.2.1.0) (83.1.4.2.0) (105,4,0) (127,1,0) 
(18.3.0) (40.5.4.3.0) (62.6.5.3.0) (84.5.0) (106.6.5.1.0) | (128,7,2,1,0) 
(19,5,2,1,0) (41,3,0) (63.1.0) (85.8.2.1.0) | (107,9,7,4,0) 
(20.3.0) (4215929190) (64949891 «0) (86,6,5,2,0) | (108.694 9190) 
(21.2.0) (43.6.4.3.0) (65.4.3.1.0) (87,7,5,1,0) | (109.5.4.2.0) 
(22.1.0) (44.5.0) (66.3.0) (88,11,9,8,0) | (110,6,4,1,0) 
(23.5.0) (4594999190) (6195929190) (89,6,5,3,0) | (111.7.4,2,0) 


10.2. Α5/1 算法 原理 


A5/1 算法 是 AS 系列 加 密 算法 中 的 一 种 ,A5/1 算法 的 基本 加 密 结构 如 图 10-4 所 示 , 
A5/1 算法 的 加 密 过 程 非 常 简单 ,只 需要 将 输入 的 明文 与 密 钥 流 进行 异 或 运算 便 可 以 
得 到 密 文 ,因此 ,A5/1 算法 的 核心 是 密 钥 流 的 生成 ， 
密 钥 流 的 生成 通过 三 个 线性 反馈 移 位 寄存 器 来 完成 ， TaD) 
三 个 线性 反馈 移 位 寄存 器 的 特征 多 项 分 别 为 
89 十 zs 十 zz 十 zl 十 1 
x? 十 并 十 1 (10-8) 
x? 十 zl5 十 zz 十 十 1 
其 密 钥 流 生 成 的 基本 过 程 如 图 10-5 所 示 。 
A5/1 移 位 寄存 器 的 基本 参数 见 表 10-2。 


表 10-2 A5/1 移 位 寄存 器 基本 参数 


图 10-4 A5/1 加 密 算 法 的 基本 结构 


编号 长 度 /b 反馈 多 项 式 时 钟 位 抽 头 位 
1 19 za +2'+2'+1 8(C1) 13,16,17,18 
2 22 αἲ γαι 10(C2) 20,21 


3 23 a! abl 10(C3) 7,20,21,22 
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图 10-5 A5/1 密 钥 流 生成 结构 


A5/1 密 钥 流 的 生成 过 程 如 下 : 

CD 将 所 有 的 寄存 器 置 为 0。 

(2) 寄存 器 进行 共 64 次 的 循环 (寄存 器 的 总 位 数 为 64 位 ) ,将 密 钥 数据 与 寄存 器 混合 ， 
对 于 0sci- 64 的 第 i 次 循环 ,与 最 低 有 效 位 (LSB) 进 行 “ 异 或 ?运算 ,R[0]=R[0] 四 K[ 订 ,每 
次 循环 处 理 1 位 数据 。 

(3) 寄存 器 再 进行 22 次 的 循环 ,对 于 OSI 21 的 第 i 次 循环 ,Fn[i] 与 寄存 器 的 输入 位 
进行 异 或 运算 ,并 将 结果 存储 到 该 寄存 器 的 最 低 有 效 位 ,每 次 循环 处 理 1 位 数据 。 

(4) 寄存 器 进行 共 100 次 的 循环 (不 输出 相应 数据 ) ,混淆 Ke 和 Fn。 完成 100 次 的 循 
环 之 后 ,寄存 器 完成 初始 化 。 

(5) 寄存 器 进行 228 次 的 循环 ,对 于 0 过 i 三 227 的 第 i 次 循环 ,将 3 个 寄存 器 的 最 高 有 
效 位 数据 (MSB) 进 行 异 或 运算 ,其 运算 结果 为 伪 随 机 数 的 第 i 位 。 

密 钥 流 生成 过 程 中 位 状态 的 变化 情况 如 图 10-6 所 示 。 

S 64 周 期 SHm S% oog ”S” ”228 周 其 E 
图 10-6” 密 钥 流 生成 中 位 状态 变化 

移 位 寄存 器 的 运行 通过 钟 控 位 来 确定 是 否 运行 ,车 和 多 数位 (Majority) 相 同 则 运行 ,其 
具体 的 运行 规则 如 表 10-3 所 示 。 

表 10-3 寄存 器 运行 规则 


Οι C G; Majority Ri R; R; 
0 0 0 0 clock clock clock 
1 0 0 0 clock clock 
0 1 0 0 clock clock 
1 1 0 1 clock clock 
0 0 1 0 clock clock 
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1 0 1 1 clock clock 
0 1 1 1 clock clock 
1 1 1 1 clock clock clock 


A5/1 的 加 密 和 解密 算法 非常 简单 ,加密 的 过 程 是 将 明文 与 加 密 密 钥 流 进行 异 或 运算 


获得 密 文 ,而 解密 过 程 则 是 将 密 文 与 解密 密 钥 进行 异 或 运算 得 到 明文 。 


10.3| AS5/1 算法 实现 


A5/1 算法 的 实现 主要 是 模拟 硬件 实现 的 过 程 ,整个 实现 过 程 的 核心 部 分 是 密 钥 的 生 
成 。 密 钥 的 生成 过 程 由 以 下 几 部 分 来 完成 : 

CD 输入 密 钥 。 

(2) 输入 Fn。 

(3) 100 时 钟 周期 的 运行 。 

(4) 生成 密 钥 流 及 加 密 。 


10.3.1 A5/1 算法 实现 的 基本 结构 


A5/1 算法 主要 由 A5_1 类 来 实现 相关 的 功能 ,A5_1 类 的 基本 结构 见 图 10-7。A5_1 类 
的 声明 见 程序 清单 10-1. 


AS 1 
- RI : word 
- R2 :word 
- R3 : word 
+ parity (word x) ibit 
* clockOne (word reg, word mask, word taps ) : word 
* majority () ibit 
+ clock () : void 
+ clockAllThree 0 :wid 
+ getBit 0 :bit 
+ setKey (byte key[], word frame) : void 
+ getKey (byte aToBKeyStream[], byte BToAKeyStream[]) : void 
* run() : void 


图 10-7 A5 1 软件 实现 的 基本 结构 


程序 清单 10-1 


Ol #define RIMASK 0x07FFEF 
02 £define ROMASK Ox3FFFFF 
03 #define R3MASK Ox7FFFFF 
04 #define RIMID 0x000100 
05 #define R2MID 0x000400 
06 #define R3MID 0x000400 


10.3 A5/1 算法 实现 


16 class A5 1 

17 { 

18 public: 

19 bit parity (word x); 

20 word clockOne (word reg, word mask, word taps); 

2 bit majority (); 

22 void clock(); 

23 void clockAllThree|) ; 

24 bit getBit(); 

25 void setKey (byte key[],word frame) ; 

26 void getKey (byte aTcBKeyStream[] ,byte bToAKeyStream[]) 7 

21 void run()7 

28 private: 

29 word RI, R2, F3; 

3 y 

程序 清单 10-1 中 的 第 1 行 到 第 12 行为 处 理 3 个 寄存 器 用 的 相关 声明 ,表示 方法 为 十 
六 进 制 。 


RIMASK,R2MASK 和 R3MASK 是 三 个 寄存 器 的 掩 码 ,R1 为 19 位 ,R2 为 22 位 ,R3 
为 23 位 ,分 别 对 应 三 个 特征 多 项 式 , 例 如 : RIMASK 为 0x07FFFF ,转换 为 二 进 制 格式 则 为 
(000001111111111111111111); ,与 第 一 个 寄存 器 对 应 。 

RIMID,R2MID 和 R3MID 用 于 获得 特征 多 项 式 钟 控 位 的 数据 ,特征 多 项 式 的 钟 控 位 
从 “0” 开 始 计算 , 则 RIMID、R2MID 和 R3MID 分 别 对 应 第 一 个 寄存 器 的 第 8 位 、 第 二 个 寄 
存 器 的 第 10 位 和 第 三 个 寄存 器 的 第 10 位 ,例如 : RIMID Jg 0x000100 ,转换 成 二 进 制 格式 
为 (…0100000000); ,与 钟 控 位 位 置 正好 对 应 。 

RITAPS,R2TAPS 和 R2TAPS 分 别 对 应 三 个 特征 多 项 式 的 抽 头 位 ,例如 RITAPS 为 
0x072000 ,转换 成 二 进 制 格式 为 (000001110010000000000000)， ,那么 , 抽 头 位 为 第 18.17. 
16 和 13 位 。 

R1OUT.R2OUT 和 R3OUT 在 获得 输出 数据 时 使 用 ,分 别 对 应 第 18.21 和 22 位 ,将 三 
个 寄存 器 对 应 位 进行 异 或 计算 后 作为 输出 。 

byte, word 和 bit 的 定义 是 为 了 方便 后 续 数 据 处 理 。 

各 函数 的 主要 功能 和 参数 说 明 如 下 : 
判断 参数 x 模 2 运算 得 到 结果 的 奇偶 性 , 函数 的 返回 类 型 


* parity(word x) 


H bit. 
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clockOne( word reg,word mask,word taps) 用 于 模拟 寄存 器 运行 一 次 ,函数 返 
回 类 型 为 word, 琐 数 参 数 为 寄存 器 寄存 器 掩 码 . 和 寄存 器 抽 头 。 

majority() 一 一 获得 3 个 寄存 器 钟 控 位 的 情况 ,函数 返回 类 型 为 bit , 

clock() 一 一 根据 钟 控 位 的 状态 运行 寄存 器 。 

clockAllThree() 一 一 同时 运行 3 个 寄存 器 。 

getBit() 一 一 获取 3 个 寄存 器 的 输出 。 

setKey() 一 一 预 处 理 密 钥 ,为 后 续 获取 密 钥 和 加 密 做 准备 ,函数 参数 为 输入 的 密 钥 
和 Fn. 

getKey() 一 一 获取 加 密 和 人 解密 密 钥 流 。 

run() 一 一 测试 运行 加 密 和 人 解密 过 程 。 


10.3.2 AS/1 算法 具体 实现 


A5/1 算法 的 密 钥 生成 首先 要 完成 输入 密 钥 、Fn, 然 后 再 经 过 100 个 时 钟 周期 的 混合 过 
以 上 过 程 是 通过 函数 setKey() 来 完成 的 。setKey() 函 数 的 详细 内 容 见 程序 清单 10-2。 


程 。 


程序 清单 10-2 
Ol void A5 1::setKey (byte key[],word frame) 
0 ( 
03 inti; 
04 bit keyBit, franeBit; 
05 ΕΙΞ0; 
06 R2-0; 
07 R3-0; 
08 for (i= 0;i« 64;it +) 
09 { 
10 clockAl Three () ; 
11 keyBit- (key[i/8]> > (i&7))&l; 
12 ΕΙ/Ξ keyBit; 
13 R2^- keyBit; 
14 R3^- keyBit; 
15 } 
16 for (i= O7i< 22;i+ +) 
17 { 
18 clockAl Three () ; 
19 frameBit- (frame> > i) &1; 
20 RI frameBit; 
2L R2^- frameBit; 
22 R3 frameBit; 
23 } 
24 for (i= 0;i« 100;i+ +) 
2 t 
26 clock(); 


} 


10.3 A5/1 算法 实现 


28 } 


在 函数 的 实现 过 程 中 ,首先 将 寄存 器 置 为 0, 然后 通过 第 8 行 到 第 15 行 的 代码 将 输入 
密 钥 初始 化 ,进行 64 次 循环 操作 ,再 通过 第 16 行 到 第 23 行 代码 初始 化 Fn, 进 行 22 次 循环 
操作 ,最 后 进行 100 次 混淆 操作 。 在 上 述 过 程 中 还 分 别 用 到 了 clockAllThree( ) 函数 和 
clock() 函 数 。 这 两 个 函数 还 用 到 一 些 相 关 的 辅助 函数 ,以 下 逐步 介绍 各 个 函数 的 功能 。 

parity( word x) 用 于 判断 各 位 数据 和 模 2 的 奇偶 性 ,在 majority() 函 数 、clock() 等 函数 
中 均 使 用 该 函数 ,函数 具体 内 容 见 程序 清单 10-3。 


程序 清单 10-3 
OL bit A5 1::parity(word x) 
et 
03 x^-12»16; 
04 x-028; 
05 x-0524 
06 x-xX2; 
07 x-m1»1 
08 retum x&l; 
09 1 


例如 , 可 以 通过 该 函数 来 判断 钟 控 位 与 寄存 器 当前 位 的 奇偶 性 ,使 用 parity 
(R1&.R1MID) 时 ,车 R1 在 钟 控 位 为 1 时 ,R1&R1MID 为 奇数 则 parity(R1&R1MID) 返 回 
1 ,否则 返回 0。 

函数 的 参数 为 word 型 32 位 数据 ,在 计算 过 程 中 将 参数 分 为 两 部 分 ,并 利用 异 或 运算 
将 对 应 位 置 ( 二 进 制 ) 都 为 1 的 数据 置 为 0, 以 此 类 推 至 处 理 完 所 有 数据 。 例 如 ,假设 输入 的 
数据 为 16 位 X(1101100111110101); ,其 计算 过 程 如 下 : 

(1101100111110101),>>8—(0000000011011001), 

(11110101),*(11011001),—> (00101100), 

(00101100), 4-7 (00000010), 

(1100); (0010); — (1110); 

(1110), >>2-> (0011); 

(10).°C11).-> (01): 

(01),>>1->(00); 

ο >)» 

最 后 再 与 1 进行 “&” 运 算 ,将 其 他 位 的 数据 置 为 0, 完 成 整个 计算 。 

只 需 获得 最 后 一 次 计算 结果 ,因此 在 计算 过 程 中 每 次 均 忽 略 了 左 半 部 分 ,该 部 分 不 会 影 
响 计 算 的 结果 。 

函数 majority() 用 于 判断 3 个 寄存 器 在 钟 控 位 1 为 多 数 还 是 0 为 多 数 , 当 1 为 多 数 时 
返回 1, 当 0 为 多 数 时 返回 0。 采用 的 方法 为 计算 奇数 的 个 数 来 确定 , 若 奇 数 的 个 数 大 于 等 
于 2 则 1 为 多 数 ,返回 1, 和 否则 返回 0。 具 体 实 现 的 代码 见 程序 清单 10-4。 

程序 清单 10-4 


ΟΙ bit A5 1::majority() 


“457, 
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吧 { 
03 


30 } 


int sum; 
sum- parity (RISRIMID)+ parity (R26R2MID) + parity (R3SR3MID) ; 
if (sum = 2) 
{ 
return 1; 
} 
retum 0; 


majority O 函数 通过 统计 三 个 移 位 寄存 器 在 钟 控 位 数据 是 否 是 “1? 来 确定 钟 控 位 为 “1” 
的 和 ,例如 ,R1&R1MID 中 的 RIMID 在 第 9 位 为 "1”, 如 果 R1 的 第 9 位 为 "1”, 则 运算 结果 
为 "1”, 通 过 parity(R1&R1MID) 计 算得 到 结果 。 分 别 对 三 个 移 位 寄存 器 计算 后 可 得 到 最 
终结 果 , 依 次 可 以 计算 得 到 三 个 移 位 寄存 器 的 钟 控 位 是 *0” 为 多 数 还 是 “1” 为 多 数 , 最 终 确定 
移 位 寄存 器 的 运行 状态 。 

clockOne(word reg. word mask, word taps) 函 数 用 于 模拟 寄存 器 的 运行 ,运行 完成 后 
将 结果 返回 给 当前 寄存 器 ,具体 的 实现 代码 见 程序 清单 10-5。 

程序 清单 10-5 


Ol word AS_1::clockOne (word reg, word mask, word taps) 


0e { 


$8528 


07 ) 


word t- reg&taps; 
reg- (reg«« 1) gmask; 
reg|- parity (t) ; 
return reg; 


T PR BY SE 8 77 A Je πο BC h hi A fr {4} ΚΚ. SS TS y fe 3 D IUIS Ze ES — 3f 5i ME E 
ΠΠ" "运算 ,去 除 最 高 有 效 位 外 的 非 0 数据 ,然后 判断 抽 头 数据 的 奇偶 性 并 添加 到 寄存 器 的 
最 低 有 效 位 。 
clock O 函数 是 根据 钟 控 位 的 状态 来 控制 寄存 器 的 运行 ,实现 的 方法 为 首先 获得 三 个 寄 
存 器 的 钟 控 位 的 状态 ,然后 来 确定 具体 如 何 运行 寄存 器 ,其 具体 实现 代码 见 程序 清单 10-6。 
程序 清单 10-6 


Ol void A5 1::clock() 


吧 { 


bit maj=majority(); 
if (( (RLSRIMID) != 0)- —maj) 
{ 
RI= clockOne (R1,RIMASK,RITAPS) ; 
} 
if ( ( (R2SR2MID) != 0)- —maj) 
{ 
R2- clockOne (FO, FOMASK, R2TAPS) ; 
) 
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12 İf ( ( (R3&RMID) != 0)==maj) 

B { 

14 R3- clockOne (F3, FGMASK, R3TAPS) ; 
15 } 

16 } 


clock O PA Χά 1Β 11 FA Wr E (02 A £f #8 Ph Fë (5 09 38 AS IE 53 — 4° 8 DER #8 “9 Bh š fu 0 32 31 
状态 进行 比较 ,然后 确定 是 否 运行 该 移 位 寄存 器 。 
clockAll Three O PR BOY [i] fis 47 3 个 寄存 器 ,具体 代码 见 程序 清单 10-7。 


程序 清单 10-7 


Ol void A5 l::clockAllThree () 
a2 { 
03 Rl= clockOne (R1, RIMASK, RITAPS) ; 
04 R2= clockOne (ΕΟ, ROMASK, R2TAPS) ; 
05 R3- clockOne (F3, R3MASK, FGTAPS) ; 
06 } 

get Bit O 函数 为 获得 3 AATE AEA 48 H o JE REIT E skies PE {8 3] Βα «PR 2 RIK SB 
代码 见 程序 清单 10-8。 

程序 清单 10-8 

Ol bit AS 1::getBit() 
e { 
03 return parity (RISRIOUT) “parity (R2&R20UT) “parity (R38R30UT) 7 
0 } 

在 完成 密 钥 流 生 成 的 前 期 工作 之 后 ,可 以 通过 函数 getKey Cbytea ToBKeyStream[ ]. 
bytebToAKeyStream[L]) 来 生成 密 钥 流 , 密 钥 流 分 成 两 部 分 ,分 别 为 A— B 和 B>A, & 114 
位 ,函数 getKey() 的 具体 实现 代码 见 程序 清单 10.9。 


程序 清单 10-9 
Ol void A5 1::getKey (byte aTcBKeyStream[] ,byte bToAKeyStream[]) 
a2 ( 
03 int i; 
04 for (i= 0;i< = 113/8;i+ +) 
05 { 
06 aToBKeyStream[i]- BToAKeyStream[i]- 0; 
07 } 
08 for (i= 0;i< 114;i++) 
09 { 
10 clock(); 
1l aToBKeyStream[i/8] | - getBit ()<< (7- (i&7)); 
12 } 
B for (i= 0;i< 114;i+ +) 
14 { 
15 clock(); 
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16 bloAKeyStream[i/8] |= getBit ()<< (7- (i&7)); 


代码 第 4 行 到 第 7 行为 将 A-~B M BA 的 密 钥 流 初始 化 为 0, 第 8 行 到 第 12 行为 生 
JR A--B 的 密 钥 流 ,第 13 行 到 第 17 行为 生成 BA 的 密 钥 流 。 

在 密 钥 流 的 计算 过 程 中 ,按照 逐 位移 位 并 进行 或 运算 的 方法 实现 以 “位 ”为 单位 的 数据 
转换 为 byte 型 数据 。 对 应 “位 ”的 数据 由 getBit() 函数 将 三 个 移 位 寄存 器 的 输出 进行 异 或 
运算 获得 。 


10.3.3 测试 


程序 的 测试 部 分 主要 是 与 已 知 的 正确 的 生成 密 钥 对 比 来 检查 密 钥 流 的 生成 是 否 正确 ， 
具体 代码 见 程序 清单 10-10。 


程序 清单 10-10 
Ol void AS _1::run() 
0 { 
03 byte key[8]= (0x12, 0x23, 0x45, 0x67, 0x89, OxAB, OxCD, OxEF}; 
04 word frame= 0x134; 
05 byte goodAToB[15]= (0x53, Ox4E, OxAA, 0x58, Ox2F, OxEB, 0x15, 
06 Ox1A, 0ΧΒ6, OxE1, 0x85, Ox5A, 0x72, Ox8C, 0x00}; 
07 byte goodBToA[15]- (0x24, OxFD, 0x35, 0xA3, Ox5D, Ox5F, 0xB6, 
08 0x52, Ox€D, 0x32, OxF9, 0x06, OxDE, Ox1A, OxCO) ; 
09 byte aToB[15] ,BToA[15] ; 
10 inti; 
11 setKey (key, frame) ; 
12 getKey (aToB, ΤΟΝ) ; 
B for (i= O7i< 15;i+ +) 
14 { 
15 if (aToB [i] != goodAToB[i]) 
16 { 
17 cout<< "A to B Failed!"<< endl; 
18 H 
19 f 
20 cout«« endl; 
2 for (i= O;i< 15;i+ +) 
2 { 
23 if(BIoA[i]!'— goodBTOA[i]) 
24 { 
25 cout<< "B to A Failed!"<< endl; 
26 } 
2] } 
28 cout<< endl; 


10.4 “习题 与 实践 题 


代码 第 5 行 到 第 8 行为 已 知 的 A— B 和 B>A RHAH. E 11 行 到 第 12 行为 生成 密 钥 
流 ,第 13 行 到 第 27 行为 将 生成 的 密 钥 流 与 已 知 的 密 钥 流 进行 对 比 来 判断 生成 的 密 钥 流 是 
否 正确 。 

在 判断 输出 的 密 钥 是 否 正确 时 ,没有 采用 对 密 文 进行 加 密 和 解密 的 方法 来 实现 ,这 是 因 
为 A5/1 的 加 密 和 解密 过 程 都 是 采用 “ 异 或 "来 进行 的 ,而 A^B^A=B, 因 此 采用 已 知 的 密 钥 
流 来 判断 过 程 是 否 正确 更 为 合适 。 


10. 4| 习题 与 实践 题 


10.4.1 习题 


l. 简要 说 明 序列 密码 算法 的 加 密 和 解密 的 基本 原理 。 

2. 参考 图 10-5 的 简单 的 线性 反馈 移 位 寄存 器 ,假设 输入 是 10110, 试 给 出 该 线性 反馈 
移 位 寄存 器 的 输出 序列 。 

3. 简要 说 明 A5/1 线性 反馈 移 位 寄存 器 的 工作 原理 。 

4. 简要 说 明 A5/1 加 密 算法 的 基本 原理 。 
10.4.2 实践 题 

A5/2 算法 实现 : 

A5/2 算法 与 A5/1 算法 类 似 , 密 钥 流 的 生成 也 是 采用 线性 反馈 移 位 寄存 器 ,但 由 于 其 
安全 性 较 差 , 目 前 只 有 少数 一 些 国 家 的 通信 公司 仍 在 使 用 。 

A5/2 密 钥 流 生成 的 基本 结构 见 图 10-8。 


图 10-8 A5/2 密 钥 流 生成 的 基本 结构 图 


A5/2 算法 与 A5/1 算法 不 同 ,A5/2 算法 使 用 了 4 个 移 位 寄存 器 ,使 用 第 4 个 寄存 器 来 
控制 其 他 3 个 寄存 器 的 运行 ,各 线性 反馈 移 位 寄存 器 的 基本 参数 见 表 10-4。 
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R 10-4 A52 寄存 器 的 基本 参数 


寄存 器 长 度 特征 多 项 式 钟 控 位 输入 位 索引 
R, 19 a? i url x 13,16,17,18 
R; 22 z+z+1 x 20,21 
Rs 23 aP +*+ r1 x 7,20,21,22 
R, 17 αἲ |-α” [1 Ει[3].ΚιΓΤ].ΚιΓ10] 11,16 


A5/2 在 输出 上 也 与 A5/1 的 方法 完全 不 同 ,输出 分 为 两 部 分 ,一 部 分 是 通过 移 位 寄存 
器 来 输出 , 即 输出 Ri ,Rs 和 Rs 的 最 高 有 效 位 , 另 一 部 分 是 通过 抽 头 并 确定 多 数位 来 输出 。 
将 两 部 分 输出 的 内 容 进行 异 或 后 得 到 最 终 的 输出 。 具 体 抽 头 的 方法 见 表 10-5。 


表 10-5 AS/2 输出 方法 


寄存 器 MSB 多 数位 非 多 数位 
Κι R,[18] Rı[12], R, [15] R [14] 
R: R:[21] R;[9].R;[13] R;[16] 
R; R; [22] R;[16].R;[18] R;[13] 


A5/1 算法 中 生成 伪 随 机 数 的 具体 步骤 如 下 : 

(1) 将 所 有 寄存 器 置 0。 

(2) 寄存 器 运行 64 个 周期 ,在 每 个 周期 1000S 63) (n. i (EI KK.[ 门 与 寄存 器 的 
最 低 有 效 位 (LSB) 进 行 异 或 运算 ,并 将 得 到 的 数据 存储 于 同一 寄存 器 的 最 低 有 效 位 。 

(3) 将 数据 位 Ri[15]、Rsz[16]、R:[18] 和 R,[10] 置 为 1。 

(4) 通过 99 个 周期 的 循环 来 混淆 K. 和 Ε, ,并 且 不 进行 输出 。 钟 控 方 式 为 : 由 寄存 器 
Ry 的 钟 控 单 元 来 计算 多 数位 , 即 计算 Ri[3],RiL7] 和 R4[L10] 的 多 数位 ,由 多 数位 来 确定 寄 
存 器 的 运行 ,其 具体 的 运行 方式 见 表 10-6。 

表 10-6 ”寄存 器 运行 方式 


R.[3] R.[7] R.[10] 多 数位 R, R; R; 

0 0 0 0 clock clock clock 
1 0 0 0 clock clock 
0 1 0 0 clock clock 

1 1 0 1 clock clock 
0 0 1 0 clock clock 
1 0 1 1 clock clock 

0 1 1 1 clock clock 
1 1 1 1 clock clock clock 


寄存 器 R, 在 每 个 时 钟 周期 内 均 是 最 后 运行 。 

(5) 与 上 一 步 的 运行 过 程 相同 ,运行 228 个 周期 ,在 第 站 次 (0 和 ji 委 227) 运 行 过 程 中 将 三 
个 寄存 器 的 最 高 有 效 位 (MSB) 输 出 后 进行 异 或 运算 .得 到 伪 随 机 数 的 第 i 位 输出 。 

程序 设计 要 求 : 参考 教材 中 A5/1 算法 ,完成 A5/2 算法 。 


RM £ 法 


RC4 加 密 算法 是 由 Ron Rivest 设计 的 流 加 密 算法 ,主要 使 用 软件 流 加 密 过 程 。 在 安全 
传输 层 协议 (Transport Layer Security. TLS) ,无 线 加 密 协 议 中 都 采用 了 RC4 算法 ,RC4 $E 
法 在 应 用 中 提供 保密 性 和 数据 完整 性 服务 。RC4 算法 是 密 钥 长 度 可 变 的 加 密 算法 ,其 核心 
部 分 的 S 盒 长 度 可 为 40 位 到 2048 位 之 间 的 任意 长 度 ,但 一 般 为 256 字 节 。 


11.1 RC4 算法 原理 


RC4 算法 的 原理 比较 简单 ,首先 通过 相应 算法 生成 伪 随 机 密 钥 流 , 该 随机 密 钥 流 用 于 
加 密 和 解密 过 程 ,加 密 过 程 是 将 明文 和 密 钥 流 进行 “ 异 或 ”运算 ,解密 的 方法 和 加 密 的 方法 
相同 。 

RC4 算法 的 核心 在 于 密 钥 流 的 生成 , 密 钥 流 生成 αι 2 254 255 
的 第 1 Jp Jet Ñ S 序列 ,S 序列 可 以 使 用 数组 表示 , 序 ΠΕΙ n 
列 长 度 为 256 的 S 序列 初始 化 过 程 如 图 11-1 所 示 。 ni κ.α 

S 序列 的 初始 化 就 是 将 序列 索引 的 值 赋 给 序列 当 
前 位 置 。 在 S 序 列 初始 化 之 后 ,使 用 输入 的 密 钥 对 S 序列 进行 置换 操作 ,操作 过 程 如 下 : 

。 计算 j=j+SliJ+keyli mod keylength] 

* 交换 SLi RI SE] 

具体 置换 过 程 见 图 11-2, 


0.1. 2 i j 254 255 
CLE EE 
0 1 2 iXkeylength keylength-1 
Key | 0 1 2 
J-i+S[i]+keyfi mod keyfength] 
0 1 2 i j 254 255 
011|2 stil su 254|255 


图 11-2 S 序 列 置换 过 程 示意 图 
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以 上 两 步 操作 过 程 可 以 用 伪 码 表示 如 下 : 


for i from 0 to 255 
S[i]:-i 

endfor 

j:=0 

for i from 0 to 255 
j:= G+ S[i]* key[i mod keylength]) mod 256 
Swap values of S[i] and S[j] 

endfor 


密 钥 的 长 度 范围 通常 为 1 过 keylength 志 256 字 节 ,比较 典型 的 使 用 范围 为 5 个 字 节 到 
16 个 字 节 之 间 , 即 密 钥 的 长 度 在 40 位 到 128 位 之 间 。 

在 获得 置换 后 的 S 序 列 之 后 ,就 可 以 生成 RC4 加 密 和 解密 所 使 用 的 密 钥 流 ,RC4 算法 
的 密 钥 流 长 度 和 所 要 加 密 数据 的 长 度 相同 ,具体 每 个 密 钥 的 生成 方法 如 图 11-3 所 示 。 


0 1 2 (s[i]+S[Jj1)x256 i 3 254 255 
ΕΒΕ ni 
VOS 7 F ΙΤ 


图 11-3 RC4 密 钥 的 生成 方法 


RC4 密 钥 的 具体 生成 方法 的 伪 码 如 下 : 


i:=0 
j:=0 
while Generatingoutput 
i:= (i+ 1) mod 256 
j:- (j+ S[i]) mod 256 
Swap values of S[i] and S[j] 
K:-S[(Sli]* S[3]) mod 256] 
output K 
endwhile 
在 获得 密 钥 流 之 后 ,对 明文 的 加 密 过 程 非常 简单 ,将 相同 长 度 的 明文 与 密 钥 流 进 行 异 或 
运算 就 得 到 密 文 ,具体 过 程 如 图 11-4 所 示 。 


图 11-4 RC4 算法 加 密 过 程 


RC4 算法 的 解密 过 程 与 RC4 算法 的 加 密 过 程 相似 ,具体 解密 过 程 如 图 11-5 所 示 。 


1 明文 长 度 -1 0 明文 长 度 -1 
0|1]|2 Fm] O] 1) 2 Γη 
0 1 2 明文 长 度 -1 


图 11-5 RC4 算法 解密 过 程 


1.2 RC4 算法 实现 


RC4 算法 的 实现 主要 分 为 两 部 分 : 一 部 分 是 S 序 列 的 初始 化 , 另 一 部 分 是 加 密 或 解密 。 
在 加 密 或 解密 的 过 程 中 还 需要 生成 加 密 密 钥 或 解密 密 钥 ,RC4 算法 的 加 密 过 程 和 解密 过 程 
完全 相同 。 


11.2.1 RC4 算法 实现 的 基本 结构 
RC4 算法 通过 RC_4 类 来 实现 ,其 基本 结构 见 图 11-6。 


RC 4 

- S[256] : byte 

- *key : byte 

- keyLength zint 

- length zint 

- *plainText : byte 

- *cipherText : byte 

- *deCipherText : byte 

* initS () : void 
* setKey (byte *newKey, int newKeyLength) : void 
+ setPlainText (byte *newPlainText, int plainTextLength) : void 
+ swap (byte S|], int i, int j) : void 
* encryption () :void 
+ deeryption () :void 
+ showResult () : void 
+ -RC 40 


图 11-6 RC 4 类 的 基本 结构 
RC_4 类 的 声明 见 程序 清单 11-1. 
程序 清单 11-1 


Ol typedef unsigned char byte; 
02 class RC 4 


03 { 

04 public: 

05 void initS(); 

06 void setKey (byte * newKey, int newKeylength) ; 

07 void setPlainText (byte * newPlainflext, int plairiTextLength) ; 


08 void swap (byte S[],int i,int j); 
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09 


void encryption() ; 
void decryption() ; 
void showResult () ; 


F 


各 成 员 变 量 的 用 途 如 下 : 


SL256] 一 一 用 于 存储 S 序列 。 

key 一 一 用 于 存储 密 钥 , 由 于 RCA 算法 中 使 用 的 密 钥 长 度 是 可 变 的 ,因此 将 key 声 
明 为 指针 型 变量 ,根据 实际 密 钥 的 长 度 来 动态 分 配 内 存 空 间 。 
keyLength 一 一 用 于 存储 密 钥 的 长 度 。 

length 一 一 用 来 存储 明文 的 长 度 。 

plainText 一 一 用 于 存储 明文 ,由 于 RC4 算法 中 明文 的 长 度 也 是 可 变 的 ,因此 将 
plainText 声明 为 指针 型 变量 ,根据 明文 的 长 度 来 动态 分 配 内 存 空间 。 

cipherText 一 一 用 来 存储 加 密 后 的 密 文 ,由 于 密 文 的 长 度 是 根据 明文 的 长 度 来 确定 ， 
因此 ,同样 声明 为 指针 型 变量 ,根据 明文 的 长 度 来 动态 分 配 内 存 空间 。 

deCipher Text 用 来 存储 解密 后 的 明文 ,由 于 解密 后 的 明文 长 度 也 是 根据 明文 的 
长 度 来 确定 ,因此 ,同样 声明 为 指针 型 变量 ,根据 明文 的 长 度 来 动态 分 配 内 存 空间 。 


各 成 员 函 数 的 作用 如 下 : 


initSO 〇 一 一 用 于 初始 化 S 序列。 

setKey() 一 一 用 于 设置 密 钥 ,以 及 获得 密 钥 的 长 度 。 
setPlainText() 一 一 用 于 设置 明文 ,以 及 获得 明文 的 长 度 。 
swap() 一 一 用 于 数据 交换 。 

encryption() 一 一 用 于 对 明文 加 密 。 
decryption() 一 一 用 于 对 密 文 解密 。 

—RC 4O —-RC 4 类 的 析 构 函数 ,用 于 释放 内 存 。 
showResult() 一 一 用 于 显示 示例 中 加 密 和 解密 的 结果 。 


11.2.2 初始 化 
RC4 算法 实现 过 程 中 的 初始 化 包括 两 部 分 内 容 : 一 部 分 是 获得 密 钥 和 密 钥 长 度 , 一 部 
分 是 初始 化 S 序 列 。 
获得 密 钥 和 密 钥 长 度 通 过 函数 setKey() 来 实现 ,setKey() 函 数 的 代码 见 程序 清单 11-2。 
程序 清单 11-2 
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void RC 4::setKey(byte κ newKey,int newKeyLength) 


} 


11.2 RC4 算法 实现 


int 1; 
keyLength- newKeyLength; 
key- new byte [keyLength] ; 
for (i= 0;i< keyLength; it + ) 
{ 

key[i]=newkey[i]; 
} 


setKey O 函数 的 参数 为 密 钥 和 密 钥 的 长 度 。 由 于 RC4 加 密 算法 的 输入 密 钥 的 长 度 是 
可 变 的 ,函数 的 参数 不 仅 包 含 了 输入 的 密 钥 ,还 包含 了 输入 密 钥 的 长 度 。 在 setKey O 函数 
中 使 用 了 动态 数组 的 方法 来 处 理 输入 密 钥 ,代码 行 第 5 行 根 据 输入 密 钥 的 长 度 动态 分 配 密 


钥 空 间 。 

S 序 列 的 初始 化 通过 函数 initSO 〇 来 实现 ,initSO 〇 函数 的 详细 代码 见 程 序 清单 11-3。 
程序 清单 11-3 

01 void FC 4::initS() 

0 ( 

03 inti; 

04 for(i-0;i«256;i* +) 

05 t 

06 Sii; 

07 ) 

08 int j-0; 

09 for(i-0;i«255;i* +) 

10 { 

11 j= G+ S[i]+ keyliskeyLength]) £0xFF; 

12 swap(S,i,j); 

13 } 


= 


) 


initSO 函数 实 现 了 两 个 功能 : 其 一 是 赋值 ,代码 行 第 4 行 到 第 7 行 实现 了 赋值 功能 。 
其 二 是 混乱 ,代码 行 第 9 行 到 第 13 行 实现 了 混乱 功能 。 由 于 输入 密 钥 的 长 度 是 可 变 的 ,而 
S 序列 的 长 度 为 256, 因 此 ,需要 重复 使 用 输入 密 钥 ,在 函数 中 通过 i% key Length 来 处 理 , 当 
输入 密 钥 使 用 完 之 后 ,再 从 头 开始 重复 使 用 。 在 第 11 行 代码 中 的 &0xFF 的 作用 是 将 j 的 
范围 限制 在 0 一 255 之 间 ,其 本 质 是 取 j 的 8 位 数据 作为 有 效 位 。 在 实现 混乱 功能 中 使 用 了 
swap() 函数 进行 数据 交换 ,该 函数 的 详细 代码 见 程序 清单 11-4。 


程序 清单 11-4 


RaeSBRA 


void RC_4::swap (byte S[],int i,int j) 
{ 


byte temp- S[i]; 
S[i]=S[j]; 
S[j]- tem; 


67. 
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swap O 函数 是 一 个 简单 的 数据 交换 函数 ,实现 的 功能 为 将 SL] 数 组 中 的 第 i 个 元 素 与 
第 j 个 元 素 进行 交换 。 
11.2.3 ”加 密 和 解密 

RC4 的 加 密 和 解密 过 程 可 以 通过 两 种 方法 来 实现 ,一 种 方法 是 生成 与 明文 长 度 相 同 的 
密 钥 流 ,然后 进行 加 密 和 解密 。 另 一 种 方法 是 边 生成 密 钥 边 加 密 或 解密 ,直到 整个 加 密 和 人 解 
密 过 程 结束 。 在 本 RC4 算法 实现 中 采用 的 是 第 二 种 方法 。 

在 具体 加 密 前 需 获 得 要 加 密 的 明文 ,获取 明文 通过 函数 setPlainText() 来 完成 ,该 函数 
的 详细 代码 见 程序 清单 11-5. 

程序 清单 11-5 


Ol void RC 4::setPlainText (byte * newPlainText,int plainTextLength) 
a ( 


8 


int i; 

04 length=plainfextLength; 

05 plainfext= new byte [length]; 
06 for (i= 0;i< length;it +) 


07 { 

08 plainText [i]- newPlainText [i]; 
09 } 

10 } 


setPlainText() 函 数 的 参数 为 输入 的 明文 和 明文 的 长 度 。 函 数 的 功能 是 根据 输入 明文 
的 内 容 与 长 度 ,将 输入 的 明文 赋 给 类 的 成 员 变量 plainText。 由 于 输入 的 明文 长 度 是 可 变 
的 ,因此 该 过 程 也 是 通过 建立 动态 数组 的 方法 进行 处 理 。 

在 获得 明文 之 后 就 可 以 对 明文 进行 加 密 , 加 密 过 程 通过 函数 encryption() 来 完成 ,该 函 
数 的 详细 代码 见 程序 清单 11-6。 


程序 清单 11-6 
Ol void RC_4::encryption() 
a2 { 
03 initS(); 
04 cipherText- new byte [length]; 
05 int i,j,1- 0; 
06 int k-length; 
07 for (i= 0,j=0;k> 0;1* * ,k- - ) 
08 { 
09 i= (i+ 1)&OXEF; 
10 j= (+ S[i]) ἑΟΧΕῈ; 
nu Swap(S,1,3); 
12 byte K- S[(S[i]+ S[j]) &0xFF]; 
13 cipberText [1]- K'plainText [1]; 
14 } 


11.2 RC4 算法 实现 


代码 行 的 第 9 行 到 第 12 行为 生成 对 当前 明文 加 密 所 需要 的 密 钥 ,在 生成 密 钥 中 用 到 的 
函数 swap() 为 程序 清单 11-4 中 的 函数 。 
解密 函数 的 实现 方法 与 加 密 函 数 的 实现 方法 相同 ,具体 代码 见 程序 清单 11-7。 


程序 清单 11-7 


Ol void RC_4::decryption() 


o { 
03 


14 
15 } 


initS(); 
deCipherText- new byte [length] ; 
int i,j,1-0; 
int k= length; 
for(i-0,j- 0;k> 0; * ,k- - ) 
{ 
i= (i+ 1) &0xFF; 
j= G+ S[i]) &0xFF; 
swap(S, i,j); 
byte K=S[(S[i]+ S[j]) &0xFF]; 
deCipherText [1]=K*cipherText [1]; 


加 密 函 数 和 解密 函数 也 可 以 通过 一 个 函数 来 实现 ,可 以 将 函数 声明 如 下 : 

void encryption (byte * in,byte * out); 

函数 具体 实现 的 方法 与 encryption() 相 同 。 
1.2.4 RC4 算法 测试 

RC4 算法 实现 过 程 的 测试 可 以 通过 主 函数 来 进行 ,通过 输入 明文 、 密 钥 对 加 密 和 解密 
过 程 进行 测试 ,由 于 加 密 和 解密 过 程 均 采 用 “ 异 或 "来 实现 ,因此 ,在 测试 过 程 中 采用 已 知 的 
测试 数据 来 进行 ,具体 的 测试 过 程 见 程序 清单 11-8。 

程序 清单 11-8 


RC 4 rc4; 

byte plairfext [14]- {'A','t','t','a','c',"k'," '," av da wn) 
byte key[6]- ('S', 'e', 'c','r','e','t'); 

rc4.setPlainText (plainText, 14) ; 

rc4.setKey (key, 6) ; 

rc4.encryption(); 

rc4.decryption( ; 

rc4.showResult () ; 

return 0; 
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测试 的 结果 通过 函数 showResult OE πὸ AN. showResult O PR 2 f] R. IK [C 85 OL Et T ΤΗ 


8 11-9, 
程序 清单 11-9 
Ol void RC_4::showResult () 
a { 
03 inti; 
04 cout<< endl; 
05 cout<< "PlainText- "; 
06 for (i= 0;i« length;i* + ) 
07 { 
08 cout<< plainText [i]; 
09 } 
10 cout<< endl; 
1l cout«« "Key- "; 
12 for (i= 0;i< keyLength;i+ + ) 
13 { 
14 cout«« key[i]; 
15 ) 
16 cout<< endl; 
17 cout<< "Cipher Text- "; 
18 for (i= 0;i< length;i* +) 
19 { 
20 cout<< hex«« int (cipherText [i]) ; 
21 ) 
2 cout<< endl; 
23 cout<< "DeCipher Text- "; 
24 for (i= 0;i« length;i+ + ) 
25 { 
26 cout<< deCipherText [i]; 
27 } 
28 cout«« endl; 
29 } 


测试 运行 得 到 的 结果 如 下 : 
PlainText= Attack at dawn 

Key= Secret 

Cipher Text- 45a01£645fc390383552544b9067 
DeCipher Text= Attack at dawn 


加 密 的 结果 是 以 十 六 进 制 的 形式 输出 。 

在 程序 的 运行 过 程 中 采用 了 动态 分 配 内 存 的 方法 来 处 理 相关 数据 ,因此 在 对 象 使 用 完 
毕 后 需 释放 相关 内 存 , 释 放 内 存 的 任务 由 析 构 函数 来 实现 , 析 构 函数 所 需要 释放 的 内 存 包 括 
密 钥 .明文 ,加密 后 的 密 文 和 解密 后 的 明文 ,具体 实现 代码 见 程序 清单 11-10。 
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程序 清单 11-10 


OL RC 4::~ RC 4() 


delete []key; 

delete []plainText; 
delete []cipherText; 
delete []deCipherText; 


析 构 函数 将 所 有 动态 分 配 的 内 存 释 放 。 


11.3) 习题 与 实践 题 


11.3.1 习题 


1. 简要 说 明 RCA 算法 的 S 序列 初始 化 的 基本 原理 。 
2. 简要 说 明 RC4 算法 的 加 密 和 解密 密 钥 流 生成 的 基本 原理 。 
3. 简要 说 明 RC4 算法 的 加 密 和 解密 的 基本 过 程 。 


11.3.2 实践 题 


参考 11.2 节 中 RC4 算法 的 实现 方法 ,编程 实现 RC 加 密 和 解密 算法 。 要 求 : 待 加 密 
的 数据 从 文件 读 取 , 加 密 后 的 数据 保存 到 文件 ,解密 后 的 数据 也 保存 到 相应 文件 。 程 序 可 以 
比较 加 密 和 解密 的 过 程 是 否 正 确 , 即 比较 待 加 密 的 消息 和 解密 后 的 消息 是 否 相 同 。 


RC5 算法 是 由 Ronald L. Rivest 设计 的 对 称 分 组 加 密 算法 ,是 一 种 可 变 加 密 轮 数 、 可 变 
分 组 长 度 、 可 变 加 密 密 钥 长 度 的 算法 。RC5 算法 既 适合 于 硬件 加 密 , 也 适合 于 软件 加 密 。 
其 加 密 方法 和 解密 方法 都 特别 简单 ,同时 ,还 具有 较 高 的 加 密 速 度 。 在 无 线 传输 层 安全 
(Wireless Transport Level Security, WTLS) 规 范 中 使 用 RCS 算法 作为 无 线 客 户 端 与 服务 
器 之 间 的 加 密 算法 。 


12.1 RCS 算法 原理 


RCS 加 密 算法 具有 三 个 可 变 的 特征 : 
。 加 密 轮 数 可 变 一 一 加 密 的 轮 数 可 以 在 0 一 255 轮 之 间 , 通 常 使 用 的 加 密 轮 数 为 12 轮 。 
* 分 组 长 度 可 变 一 一 分 组 可 选择 32 位 、64 位 或 128 位 的 分 组 长 度 , 通 常 使 用 64 位 作 
为 分 组 长 度 。 
° 密 钥 长 度 可 变 一 一 加 密 和 解密 的 密 钥 长 度 可 以 在 0 位 到 2040 位 之 间 , 通 常 使 用 的 
密 钥 的 长 度 为 128 位 。 
RC5 可 以 用 类 似 于 RC5-w/r/b 的 方法 来 表示 具体 的 算法 ,rw 表示 word 的 位 数 ,r 表示 
加 密 的 轮 数 , 表示 密 钥 的 长 度 ( 以 8 位 字 节 为 单位 ), 见 表 12-1。 
表 12-1 RCS 算法 表示 说 明 


参数 定 Dd 取 值 范围 
w 以 bit 表示 的 word 的 尺寸 16.32.64 
加 密 与 解密 轮 数 0<r<255 
b 密 钥 的 字 节 长 度 0<p<255 


例如 ,RC5-32/12/16, 其 中 32 表示 处 理 比特 的 字 长 为 32 位 ,由 于 RC5 算法 处 理 的 数据 
是 2 个 字 长 ,因此 分 组 长 度 为 64 比特 ,12 表示 加 密 和 解密 的 轮 次 ,16 表示 密 钥 长 度 为 16 字 
节 , 每 个 字 节 8 位 , 共 128 位 。Rivest 建议 的 加 密 和 解密 的 版 本 为 RC5-32/12/16。 


12.1.1 RCS 加 密 和 解密 的 基本 原理 


RCS 加 密 和 解密 算法 的 基本 原理 如 图 12-1 所 示 。 
图 12-1 是 RC5 算法 中 的 一 轮 运算 过 程 ,图 中 的 A,B 是 输入 的 明文 分 组 (长 度 为 2w 比 
特 ) 分 为 长 度 为 w 比特 的 字 (word) S 为 子 密 钥 。RC5 算法 中 使 用 了 3 种 基本 的 运算 : 


12.1 Rc5 算 法 原理 178 a 


图 12-1 RCS 算法 基本 原理 示意 图 


(1) 田 一 一 模 2 加 运算 。 
(2) 四 一 一 异 或 运算 。 
(3) ”一 一 循环 左 移 。 
RCS 加 密 算法 用 伪 码 可 以 描述 为 
A:=At S[0] 
B:=Bt S[1] 
for i froml ror 
A:- (ΔΘ B)<<<B)+S[2* i] 
B:- (BO A)<<<A)+S[2* 111] 
endfor 
fi rp f r des n BE 09 FE BL 
RCS 解密 算法 用 伪 码 可 以 描述 为 
fori franltor 
B:- (G-S[2* i+1])>>>A) ® A 
A:= ((A- S[2* i])>>>B) @ B 
endfor 
B:=B- S[1] 
A:=A- S[0] 


d Ju s RU ΒΕ 3k 11 B rp JH S SE] SCCDB RS. 
12.1.2 RCS 密 钥 生成 
RCS 算法 的 密 钥 扩展 是 通过 用 户 输入 的 密 钥 K 填充 密 钥 序列 S 来 进行 ,在 密 钥 初始 化 
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过 程 中 使 用 了 两 个 称 为 “ 魔 数 常量 ”的 特殊 常量 ,分 别 为 P。 和 Qu ,并 在 运算 过 程 中 使 用 了 
FK zw 来 进行 运算 ,P. 和 Qu 的 计算 方法 如 下 : 
P, = odd((e — 2)2”) 
Qu。 = odd(($ — 1223) (2-1) 
Hp: 
e=2, 718281828459 (自然 对 数 底 ) 
$ 二 1. 618033988749… (HEPA 
odd(z) 是 指向 上 取 整 并 最 接近 xz 的 奇数 
w 的 取 值 一 般 为 16,32 或 64, 对 于 不 同 的 το 计算 获得 的 P。 和 Qu 为 
Pis = (1011011111100001); = 0xB7E1 
Qis = (1001111000110111); = 0x9E37 
Ps; = (10110111111000010101000101100011); = 0xB7E15163 
Qs, = (10011110001101110111100110111001), = 0x9E3779B9 
Ps = (1011011111100001010100010110001010001010111011010010101001101011)» 
= 0xB7E151628AED2A6B 
Qs: = (1001111000110111011110011011100101111111010010100111110000010101); 
= 0x9E3779B97F4A7C15 
RCS 密 钥 生成 的 过 程 可 以 分 为 以 下 3 个 步骤 : 
(1) 将 用 户 以 字 节 为 单位 的 密 钥 数组 转换 为 以 字 为 单位 的 密 钥 数组 
由 于 在 加 密 过 程 中 的 密 钥 S 使 用 的 密 钥 是 以 字 (word) 为 单位 ,而 输入 的 密 钥 是 以 字 节 
为 单位 ,因此 还 需要 将 输入 的 以 字 节 为 单位 的 密 钥 转换 为 字 。 
假设 有 以 字 节 为 单位 的 密 钥 数组 K[ ,数组 长 度 为 5, 并 有 以 字 为 单位 的 数组 LL], 数 组 
KEW coc Hb 的 关系 为 
c= [b x 8/w ] (12-2) 
3X 012-2) d& s LD] 数 组 的 大 小 正好 能 容纳 用 户 输入 密 钥 数组 的 大 小 ,如 果 用 户 输入 的 密 钥 
的 bit 长 度 不 是 字 长 的 整数 倍 , 那 么 在 填充 数组 LL ] 的 最 后 一 个 字 时 ,在 使 用 完 所 有 KL 1 
组 数据 之 后 使 用 “0” 来 填充 后 续 字 节 。 
(2) 初始 化 S 序 列 
在 将 输入 的 密 钥 转换 为 以 字 为 单位 的 数组 之 后 的 第 二 步 为 初始 化 S 序 列 ,初始 化 S 序 
列 使 用 了 P. 和 Qu ,具体 初始 化 过 程 的 伪 码 如 下 : 


S[0] :- Pw 

for i from1 tot 
S[i]:=S[i-1]+ Ww 

endfor 


H t=2*r+2, 
H T S 序列 的 每 个 元 素 的 长 度 为 字 长 ,因此 在 计算 过 程 中 还 需要 将 获得 的 结果 进行 模 
2" 运算。 


(3) 密 钥 混 清 


密 钥 混淆 过 程 是 将 S 序列 与 用 户 输入 的 密 钥 进行 混 清 操作 ,在 这 步 操作 过 程 中 使 用 在 


12.2 RCS 算法 实现 


(1) 中 获得 的 L[] 数 组 来 对 S[] 序 列 进行 混淆 操作 ,具体 混淆 过 程 的 伪 码 如 下 : 


do 3X max(t,c) times 
A:=S[i]= (S[i]+ A+ B) ««« 3 
B:-L[j]- (.[j]+ A+ B) ««« (A+ B) 
i:- (i+ 1) mod (t) 
j:= (j+ 1) mod (c) 

enddo 


12.2! RCS 算法 实现 


RCS 算法 的 实现 包含 加 密 和 解密 以 及 密 钥 生 成 两 大 部 分 , 密 钥 的 生成 又 由 三 部 分 的 操 
作 完 成 : 用 户 密 钥 的 转换 、S 序列 的 初始 化 和 S 序列 的 混淆 。 与 RC4 算法 相 比 较 ,RC4 的 加 


密 过 程 与 解密 过 程 完全 一 样 ,而 RC5 算法 中 的 加 密 和 解密 算法 略 有 不 同 。 


在 本 算法 实现 中 使 用 的 RCS 结构 为 RC5-32/12/16, 即 字 长 为 32 位 、 加 密 轮 数 为 12 


轮 .用 户 密 钥 长 度 为 16 字 节 (128 位 )。 
12.2.1 RCS 算法 实现 的 基本 结构 


RCS 算法 实现 的 主要 功能 通过 RC_5 类 来 完 
成 ,RC_5 类 的 基本 结构 如 图 12-2 所 示 o 
RC 5 类 的 声明 见 程序 清单 12-1。 
程序 清单 12-1 


Ol typedef unsigned int word; 
02 const int w= 32; 

03 const int r- 12; 

04 const int b- 16; 

05 const int c- 4; 

06 const int t- 26; 

07 const word P= 0xB7E15163; 
08 const word Q= 0x9€377989; 
09 class RC 5 


30 4 

11 public: 

12 void setKey (unsigned char userkey[]) ; 
B void setPlainText (word plext []) ; 


14 word rotL (word x,word y) ; 


+ setKey (unsigned char userKey|]) : void 


RC 5 
- Lic] : word 
- Sit] : word 


- plainText[2] : word 
- cipherText — : word 
- deCipherText : word 


+ setPlainText (word pText[]) : void 
+ rotL (word x, word y) : word 
+ rotR (word x, word y) : word 


+ encryption (word in[], wordout[]) : void 
+ decryption (word in]], word out[) : void 
+ test() : void 


图 12-2 RC_5 类 的 基本 结构 
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15 word rotR (word x,word y); 

16 void encryption (word in[],word out []) ; 
17 void decryption (word in[],word out []) ; 
18 void test (); 

19 private: 

20 word L[c]; 

a word S[t]; 

22 word plainText [2]; 

23 word cipherText [2]; 

24 word deCipherText [2]; 

2 } 


在 程序 清单 12-1 中 ,word 数据 类 型 的 定义 是 为 了 方便 32 位 数据 的 处 理 , 而 常量 w 表 
示 处 理 数据 的 位 数 、r 表示 加 密 的 轮 数 、b 表示 输入 密 钥 以 字 节 为 单位 的 长 度 、c 是 输入 以 字 
节 为 单位 的 密 钥 转 换 为 以 word 为 单位 的 长 度 、t 为 2x*r 十 2。 

程序 清单 12-1 中 各 成 员 变 量 的 用 途 如 下 : 

* L[c] 转换 为 word 格式 的 用 户 输入 密 钥 。 

。 S[t] EHF. 

。 plainText[2] 一 一 输入 的 明文 ,每 次 处 理 2 个 word 的 数据 。 

。 cipherText 一 一 存储 将 明文 加 密 后 获得 的 密 文 。 

。 deCipherText 一 一 存储 将 密 文 解密 后 得 到 的 明文 。 

程序 清单 12-1 中 各 成 员 函 数 的 作用 如 下 : 

。 setKey() 一 一 通过 用 户 输入 的 密 钥 计算 得 到 加 密 和 解密 的 密 钥 。 

。 setPlainText() 一 一 获得 用 户 输入 的 明文 。 

。 rotL() 一 一 计算 密 钥 、 加 密 和 解密 过 程 中 使 用 的 辅助 函数 ,实现 循环 移 位 的 功能 。 

。 rotR() 一 一 计算 密 钥 ,加密 和 解密 过 程 中 使 用 的 辅助 函数 ,实现 循环 移 位 的 功能 。 
encryption() 一 一 加 密 函 数 , 用 于 对 明文 的 加 密 。 
。 decryption() 一 一 解密 函数 ,用 于 对 密 文 的 解密 。 
。 test() 一 一 测试 函数 ,用 于 测试 加 密 和 解密 过 程 。 


12.2.2 BAAR 


RCS 算法 使 用 的 密 钥 通过 函数 setKey() 来 完成 ,函数 的 参数 是 用 户 输入 的 密 钥 ,数据 
类 型 为 unsigned char。 函 数 共 实 现 三 个 功能 : 将 输入 的 密 钥 转换 为 word 型 数据 ,初始 化 s 
序列 和 密 钥 混淆 。 函 数 具 体 实现 代码 见 程 序 清单 12-2, 


程序 清单 12-2 
Ol void R 5::setKey (unsigned char userKey[]) 
o { 
03 int i,j,k 
04 int u-w/8; 
05 word A,B; 


06 for (i=b- 1,L[c- 1]=0;i!=-1;i--) 


07 { 
08 L[/u]- (L[i/u]«« 8)+ userkey[i]7 

09 } 

10 for (S[0]=P, i= liic tzit +) 

1 { 

12 S[i]=S[i- 110; 

13 } 

14 for(A- B- i= j= k- 0;k< 3* t;k* * ,i= (i+ 1)%t,j (j* DSc) 
15 { 

16 A-S[i]-rotL(S(i]* (At B),3)7 

7 B-L[j]- rotL(L[j]+ (A+B), (&* B); 

18 ) 

19 } 


12.2 RCS 算法 实现 


程序 清单 12-2 中 的 第 6 行 到 第 9 代码 的 作用 是 将 用 户 输入 的 字 节 型 密 钥 转换 为 word 


型 密 钥 ,实现 的 原理 见 图 12-3。 


L[0 [ +H key[0] 

uo [ T I Rem] 

Lio) [ Ε eto [enm | 

L[0 key[0] | key[1] key[2] 

I 

L[0] | keyio} Γκον [t2 | <4 
Lo 

图 12-3 字 节 型 密 钥 转换 为 word 型 密 钥 示意 图 


图 12-3 显示 的 是 第 1 个 word 型 密 钥 的 转换 过 程 ,其 余 密 钥 的 转换 方法 相同 。 

代码 行 的 第 10 行 到 第 13 行为 S 序列 初始 化 ,初始 化 过 程 通过 使 用 常量 P 和 Q 来 完 
成 。 代 码 行 的 第 14 行 到 第 18 行为 对 密 钥 进行 混淆 操作 ,在 这 过 程 中 使 用 了 rotL() 函 数 进 
行 了 相关 的 循环 移 位 操作 ,rotL() 函 数 的 参数 为 两 个 word 型 参数 ,rotL() 函 数 的 实现 过 程 


见 程序 清单 12-3。 
程序 清单 12-3 


Ol word RC 5::rotL(word x,word y) 


e { 


03 retum ((()«« (y&(w- 1))) | ((z)>> (we (y&(w- 1))))); 


04 } 


rotL O PR Zi BJ EBON E u BJ 3 a x 和 循环 移 位 的 多 少 y, 实 现 的 功能 为 循环 左 移 。 
在 移 位 运算 过 程 中 使 用 y& Ow 1). w 为 32,w 一 1 为 31,w 一 1 用 二 进 制 数据 可 以 表示 为 
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(11111),, HIT y X word32 型 数据 ,因此 ,在 进行 y&(w 一 1) 之 后 的 最 大 值 为 31, 正 好 用 
于 32 位 数据 的 循环 移 位 。 
12.2.3 加 密 和 解密 过 程 的 实现 


RCS 的 加 密 和 解密 过 程 通过 函数 encryption() 和 decryption() 来 实现 ,每 次 加 密 和 解密 
过 程 都 是 针对 2 个 word 型 数据 进行 , 即 每 次 处 理 64 位 数据 。 加 密 函 数 encryption() 的 具 
体 实现 代码 见 程序 清单 12-4。 


程序 清单 12-4 
Ol void RC_5::encryption (word in[],word cut[]) 
0 { 
03 int i; 
04 word A= in[0]* S[0]; 
05 word B= in[1]* S[1]; 
06 for (i= lyi<=r;it+) 
07 { 
08 A-rotL(YB,B)* S[2* i]; 
09 B= rotL(B^A,2)* S[2* i*1]; 
10 } 
1l out [0] A; 
12 out [1]- B; 
B } 


encryption O RRJ% word 型 的 输入 (明文 ) 和 word 型 的 输出 ( 密 文 ) ,并 使 用 数 
组 来 处 理 输 入 和 输出 。 由 于 每 次 处 理 2 个 word 型 数据 ,因此 数组 的 实际 大 小 为 2 。 

在 加 密 过 程 中 同样 用 到 了 rotL() 函 数 ,rotL() 函 数 见 程序 清单 12-3. 

解密 函数 decryption() 的 具体 实现 代码 见 程序 清单 12-5. 


程序 清单 12-5 
Ol void RC_5::decryption (word in[],word out []) 
a2 { 
08 int i; 
04 word A= in[0]; 
05 word B= in[1]; 
06 for(i-r;i»0;i--) 
07 { 
08 B- rotR(B- S[2* i+ 1],A)^A; 
09 A rotR(A- S[2* i],B)^B; 
10 } 
11 out [0]- A- S[0]; 
12 out [1]- B- S[1]; 


B } 


decryption PR ZB] BON word 型 的 输入 ( 密 文 ) 和 word 型 的 输出 (解密 后 的 明文 )， 
也 使 用 大 小 为 2 的 数组 。 在 解密 过 程 中 使 用 了 函数 rotR() 来 处 理 相关 的 循环 移 位 操作 ， 


rotR() 函 数 的 具体 代码 见 程 序 清单 12-6。 
程序 清单 12-6 


Ol word RC 5::rotR(word x,word y) 
2 { 


03 retum (((x)>> (y&(w- 1))) | ((&)«« (w- (y&(w- 1)))))7 


0 } 


rotRO 〇 函数 实现 的 功能 是 循环 右 移 ,实现 过 程 的 基本 原理 与 循环 左 移 函 数 τοι]. 0) 


相同 。 
12.2.4 RCS 算法 测试 


RCS 算法 的 测试 过 程 通过 主 函数 main() 以 及 测试 函数 test() 来 进行 。 通 过 主 函数 来 
设置 用 户 密 钥 和 明文 ,通过 test O 函数 来 测试 加 密 和 解密 过 程 。 设 置 明文 的 函数 为 


setPlainText() ,函数 的 具体 代码 见 程 序 清单 12-7。 
程序 清单 12-7 


0L void RC 5::setPlainText (word plext []) 
{ 


8 


plainText [0]= pText [0]; 
plainText [1]=plext [1]; 


9828 


) 


setPlain Text OO ff] 2 Vy word 型 数组 ,数组 大 小 为 2 。 


测试 函数 test() 的 具体 代码 见 程序 清单 12-8。 
程序 清单 12-8 


Ol void RC 5::test() 


吧 { 

03 cout<< "The plainText:"«« endl; 

04 cout<< hex«« word (plainText [0]) «« " "7 

05 cout<< hex«« word (plainText [1])<< endl; 
06 encryption (plainText, cipherText) ; 

07 cout«« "The cipherText:"<< endl; 

08 cout<< hex«« word (cipherText [0]) «« " "7 
09 cout<< hex«« word (cipherText [1]) «« endl; 
10 cout<< "The deCipherText:"<< endl; 

n decryption (cipherText, deCipherText) ; 

12 cout<< hex«« word (deCipherText [0]) << " "7 
13 Cout<< hex«« word (deCipherText [1]) «« endl; 
14 ] 


测试 过 程 通过 主 函 数 来 驱动 , 主 函 数 的 具体 代码 见 程序 清单 12-9。 


程序 清单 12-9 


0l intmain() 


12.2 RCS 算法 实现 
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Qt 

03 RC 5rc5; 

04 unsigned char key[b]; 
05 inti; 

06 for(i-0O;i«b;it*) 

07 { 

08 key(i]- 0; 

09 } 

10 rc5.setKey (key) ; 

1 word pText [2]; 

12 plext [0]= OxSABCDEFD; 
B PText [1]= 012345678; 
14 rc5.setPlainText (pText) ; 
15 rc5.test(); 

16 retum 0; 


17 } 


测试 过 程 首先 输入 密 钥 ,然后 计算 RC5 算法 所 用 的 密 钥 ,再 设置 明文 ,通过 调用 testO 
函数 来 进行 加 密 和 解密 过 程 测试 。 测 试 结果 如 下 : 


Sabodef0 12345678 


在 对 明文 加 密 后 再 进行 解密 得 到 解密 后 的 明文 与 原先 输入 的 明文 一 致 。 


12.3 习题 与 实践 题 


12.3.1 习题 


1. RC5 算法 中 用 到 哪些 基本 运算 ? 给 出 算 例 说 明 这 些 运算 的 基本 方法 。 
2. 简要 说 明 RCS 加 密 算 法 的 基本 原理 。 
3. 简要 说 明 RC5 加 密 算法 密 钥 的 生成 方法 和 基本 过 程 。 


12.3.2 实践 题 


1. RCS 算法 中 的 核心 部 分 之 一 是 密 钥 的 生成 , 试 编写 一 程序 ,程序 的 功能 是 生成 RC5 
加 密 算法 的 密 钥 , 并 将 密 钥 保存 到 相关 文件 。 

2. 编写 RCS 加 密 算法 ,要求 : 待 加密 的 消息 是 从 文件 读 取 ,加 密 后 的 消息 保存 到 文件 ， 
并 可 以 对 解密 结果 进行 检验 。 


RC6 算法 也 是 由 Ron Rivest 设计 的 一 种 加 密 算法 ,RC6 算法 是 以 RCS 算法 为 基础 , 曾 
是 高 级 加 密 标准 的 候选 算法 。RC6 算法 的 基本 思想 是 广泛 采用 数据 移 位 来 增强 抵抗 攻击 
的 能 力 , 同 时 采用 了 同时 处 理 4 个 明文 分 组 的 结构 ,并 在 运算 中 增加 了 扩散 的 行为 ,使 得 即 
使 使 用 较 少 的 加 密 轮 数 也 具有 和 较 高 的 安全 性 。 


13.1 RC6 算法 原理 


RC6 算法 与 RCS 算法 相似 ,也 是 由 三 个 参数 决定 的 算法 徐 。 决 定 具 体 算法 的 参数 分 别 
为 w(word 字 长 )、r( 加 密 轮 数 ) 和 64( 以 word 为 单位 的 密 钥 长 度 )。 其 中 65 也 可 以 使 用 字 节 
长 度 或 位 长 度 , 转 换 为 字 长 度 只 需要 做 适当 的 换算 即 可 。 因 此 RC6 算法 通常 也 可 以 表示 
为 : RC6-w/r/b. iji RC6-32/20/32 表示 该 RC6 算法 为 处 理 的 字 长 为 32 位、 加 密 的 轮 数 为 
20 、 密 钥 的 长 度 为 32 FW. 


13.1.1 RC6 算法 的 加 密 和 解密 
RC6 算法 的 加 密 和 解密 过 程 的 基本 原理 如 图 13-1 所 示 。 


gre [2/42] | Eius 
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A B C D 
图 13-1 RC6 加 密 过 程 基本 原理 
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在 RC6 算法 中 共用 到 以 下 运算 : 

a 十 b 一 一 整数 加 法 ,并 将 结果 模 2". 

a 一 b 一 一 整数 减法 ,并 将 结果 模 2” 。 

a 四 b 一 一 异 或 运算 。 

aXb 一 一 整数 乘法 ,并 将 结果 模 2” 。 

a “hb 一 一 循环 左 移 。 

a 了 一 一 循环 右 移 。 

假设 明文 输入 为 A,B,C 和 D, 加 密 轮 数 为 > 轮 ,rz 位 的 轮 密 钥 为 SL0,…',2r 十 3] ,加密 
后 的 输出 也 存储 到 A,B,C 和 D, 那 么 加 密 过 程 用 伪 码 可 以 表示 为 


B:=Bt S[0] 
p:- De S[1] 
for i fronl tor 
t:- (BX (Be 1))<<< 1w 
u:- (DX (2D+ 1))««« 1gw 
A:= (A@ t)<<<u)+ Spi] 
C: ((C@ u)««« t) S[2i 1] 
(&,B,C,D) := (B,C,D,A) 
endfor 
A:=At S[2r+ 2] 
C:- CF S[2r* 3] 


RC6 算法 的 解密 过 程 与 加 密 过 程 类 似 , 假 设 密 文 输入 为 : A,B,C 和 D, 解 密 轮 数 为 
r f£ wo 位 的 轮 密 钥 为 SL0,…,2r 十 3] ,解密 后 的 输出 也 存储 到 A,B,C 和 D, 那 么 解密 过 程 
用 伪 码 可 以 表示 为 


C:=C- S[2r+ 3] 

A:=A- S[2r+ 2] 

for i frmr to 1 
(A,B,C,D) := (D,A,B,C) 
u:= (DX (DF 1))<<< lgw 
t:- (BX (2B+ 1))<<< 1gw 
C:- ((C- S[2it1])>>>t)® u 
A:= ((Α- S[2i])>>>u)® t 

endfor 

D:-D- S[1] 

B:=B- S[0] 


13.1.2. RC6 算法 的 密 钥 生成 


RC6 的 密 钥 生成 算法 与 RC5 的 密 钥 生成 算法 基本 相同 ,也 分 成 三 步 完成 : 首先 将 用 户 
输入 的 密 钥 转换 为 word 型 (处 理 单个 明文 输入 的 长 度 ) 密 钥 , 然 后 初始 化 密 钥 序列 ,最 后 对 
密 钥 进行 混淆 。 在 密 钥 生成 过 程 中 也 使 用 了 Po A Qu ,对 于 处 理 32 位 的 word 型 数据 ， 
Ps 和 Qu 的 值 为 


13.2 RC6 算法 实现 


Po = OxB7E15163 
Qe = 0x9E3779B9 


P, 和 Q。 的 值 与 RC5 算法 中 的 Ps。 和 Qo 的 值 计算 方法 和 结果 都 相同 。 

RC6 密 钥 的 生成 与 RCS 密 钥 的 生成 的 不 同 地 方 是 密 钥 的 长 度 不 同 ,假设 用 户 密 钥 通 过 
转换 为 word 型 密 钥 序列 为 LL0,…,c 一 1],w 位 密 钥 序列 为 SL0,…,27r 十 3] ,那么 ,RC6 的 
密 钥 生成 过 程 可 以 用 伪 码 描述 为 


S[0]:=Pw 

for i from 1 to 2r+3 
S[i]:-S[i- l]* Ow 

endfor 

A-B-i-j-0 

v:- 3X max (c,2r+ 4) 

for s fran 1 tov 
A:-S[i]- (S[i]+ A B) ««« 3 
B:-L[j]- (L]* Ac B) <<< (Ar B) 
i:= (i+ l)mod (2r+ 4) 
j:- (j+ mod c 

endfor 


在 使 用 用 户 输入 密 钥 填充 word 型 密 钥 序列 的 过 程 中 , 若 用 户 输入 密 钥 不 够 则 使 用 0 
字 节 进行 填充 。 


13.2| RC6 算法 实现 


RC6 算法 实现 的 主要 功能 通过 RC 6 类 来 完成 ,RC_6 类 的 主要 功能 包括 生成 密 钥 、 加 
密 和 解密 ,加 密 和 解密 过 程 分 别 通过 加 密 和 解密 的 辅助 函数 来 完成 加 密 和 解密 的 具体 过 程 。 
RC6 算法 的 加 密 过 程 中 每 次 处 理 4 个 word 型 数据 ,在 本 示例 中 加 密 的 数据 长 度 为 32 位 ， 
每 次 加 密 4 个 word 型 数据 , 共 128 位 ,总 加 密 或 解密 轮 数 为 20 46 ,用户 输入 密 钥 的 长 度 为 
16 字 节 , 共 128 位 ,生成 的 密 钥 序列 共 44 个 word WEH. 


13.2.1 RC6 算法 实现 的 基本 结构 


RC_6 类 的 基本 结构 见 图 13-2 。 
RC. 6 类 的 完整 声明 见 程序 清单 13-1。 
程序 清单 13-1 


Ol typedef unsigned int word; 
02 const int w= 32; 
03 const int r- 20; 
04 const int b- 16; 
05 const int c- 4; 
06 const int t- 44; 


“483, 
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RC 6 
- Llc] : word 
- Sit] : word 
- plainText[4] :word 


- cipherText[4] : word 
deCipherText[4] : word 


setKey (unsigned char userKey[]) 

setPlainText (word pText[]) 

rotL (word x, word y) 

rotR (word x, word y) 

encryption (word in[], word out[]) 

encHelper (int i, word &A, word &B, word & C, word & D) 
decryption (word in|], word out[]) 

decHelper (int i, word &A, word & B, word &C, word & D) 
test () 


+ + + + + £ + + + 


图 13-2 RC_6 类 的 基本 结构 


07 const word P= 0xB7E15163; 
08 const word Q= 0x9%3779B9; 


09 class RC 6 

10 ( 

11 public: 

12 void setKey (unsigned char userKey[]) ; 


13 void setPlainfext (word plext []) ; 

14 word rotL (word x,word y); 

15 word rotR (word x,word y); 

16 void encryption (word in[],word out []) ; 

17 void encHelper (int i,word &A,word &B, word &C,word &D); 
18 void decryption (word in[],word out []); 

19 void decHelper (int i,word &A,word &B, word &C,word &D); 
20 void test () ; 

2 private: 

22 word L[c]; 

23 word S[t]; 

24 word plainText [4]; 

25 word cipherText [4]; 

26 word deCipherText [4]; 

27 y 


: void 
: void 
: word 
: word 
: wid 
: void 
: void 
: void 
:wid 


在 程序 示例 中 ,加 密 的 明文 是 4 个 32 位 的 数据 为 一 分 组 ,因此 定义 一 个 新 的 数据 类 型 
word 以 方便 后 续 处 理 。 定 义 常量 w 用 于 处 理 32 位 数据 ,常量 r 为 加 密 轮 数 ,常量 b 为 输入 


密 钥 的 字 节 数 , 常 量 c 为 将 字 节 型 密 钥 转 换 为 word 型 密 钥 后 的 数 
P 和 Q 是 用 于 初始 化 S 序 列 用 的 常量 ,与 RC5 中 所 用 的 常量 的 含义 相同 。 


程序 清单 13-1 中 个 成 员 变量 的 作用 如 下 : 


° Lic] 


转换 为 word 格式 的 用 户 输入 密 钥 。 


+ S[C]—— 388 APs. 
。 plainText[4] 一 一 输入 的 明文 ,每 次 处 理 4 个 word 的 数据 。 


量 , 常 量 t 一 


2*rF4, 8 


13.2 RC6 算法 实现 


° cipherText[4] 一 一 存储 将 明文 加 密 后 获得 的 密 文 。 

。 deCipherText[4] 一 一 存储 将 密 文 解密 后 得 到 的 明文 。 

程序 清单 13-1 中 各 成 员 函 数 的 作用 如 下 : 

。 setKey() 一 一 获得 用 户 输入 的 密 钥 , 并 根据 用 户 输入 的 密 钥 计 算 获 得 加 密 与 解密 用 
的 密 钥 序列 。 

。 setPlainText() 一 一 获取 用 户 输入 的 明文 。 

e rotL() 一 一 计算 密 钥 、 加 密 和 解密 过 程 中 使 用 的 辅助 函数 ,实现 循环 移 位 的 功能 。 

。 rotR() 一 一 计算 密 钥 、 加 密 和 解密 过 程 中 使 用 的 辅助 函数 ,实现 循环 移 位 的 功能 。 

* encryption() 加 密 函 数 ,用 于 对 明文 的 加 密 。 

* encHelper() 一 一 加 密 辅 助 函 数 , 用 于 实现 一 轮 的 加 密 。 

° decryption() 一 一 解密 函数 ,用 于 对 密 文 的 解密 。 

* decHelper() 解密 辅助 函数 ,用 于 实现 一 轮 的 解密 。 

test() 一 一 测试 函数 ,用 于 测试 加 密 和 解密 过 程 。 


13.2.2 ZAER 


RC_6 类 中 , 密 钥 生成 通过 函数 setKey O ,函数 的 参数 为 unsigned char 型 数组 ,用 于 接 
收 用 户 输入 的 密 钥 ,setKey() 函 数 共 实 现 三 个 基本 功能 : 将 用 户 输入 的 密 钥 转 换 为 word 型 
密 钥 .初始 化 密 钥 序列 S、 混 淆 密 钥 序 列 S. 

setKey O 函数 的 详细 代码 见 程 序 清单 13-2。 


程序 清单 13-2 
OL void RC_6::setKey (unsigned char userKey[]) 
0 { 
03 int i,j,k; 
04 int u-w/8; 
05 word A,B; 
06 for (i=b- 1,L[c- 1]=0;i!=- 1;i--) 
07 { 
08 Li/ujJ- (,i/u]«« 8)+ userkey [i]; 
09 } 
10 for(S[0]- P, i= l;i€ t;i* * ) 
1 t 
2 S[il-S[i- 110; 
13 } 
14 for (A= B= i= j= = 0;k<x 3* t;kt * ,i- (i+ 1) St, j= (j+ 1)$c) 
15 $ 
16 A-S[i]-rotL(Sli]* (A+ B),3); 
11 B-L[j]- rotL(L[j]+ (A+B), (ΔΕ B); 
18 $ 
19 } 


ΚΟ 6 中 生成 密 钥 的 算法 原理 和 过 程 与 RC_5 中 生成 密 钥 的 算法 和 原理 完全 相同 ,只 是 
生成 密 钥 的 数量 不 同 , 在 RC_6 算法 中 生成 密 钥 的 数量 为 44 个 word WEH. 
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在 程序 示例 中 w= 二 32, 那 么 u==4, 第 6 行 代码 到 第 9 行 代码 实现 了 将 每 4 个 unsigned 
char 型 数据 转化 为 1 个 word 型 数据 .转化 过 程 与 RC5 算法 中 的 相应 过 程 一 致 ( 见 图 12-3) 。 
第 10 行 代码 到 第 18 行 代码 , 则 是 根据 RC_6 算法 的 密 钥 生成 方法 生成 密 钥 序列 。 

在 生成 密 钥 过 程 中 使 用 了 rotL() 函 数 用 于 循环 移 位 ,rotL() 函 数 的 详细 代码 见 程 序 清 


单 13-3。 
程序 清单 13-3 
Ol word RC 6::rotL(word x,word y) 
a { 
03 return (((x)«« (y&(w- 1))) | ((z)>> (w- (y&(w- 1))))); 
0 } 


rotL() 函 数 的 循环 左 移 的 原理 与 程序 清单 12-3 中 的 循环 移 位 的 原理 和 实现 方法 都 相 
Ii]. rotLO 函数 实现 了 循环 左 移 的 功能 。 


13.2.3 加 密 和 解密 的 实现 


RC6 的 加 密 和 解密 过 程 通过 函数 encryption() 和 decryption() 来 实现 ,每 次 加 密 和 解密 
过 程 都 是 针对 4 个 word 型 数据 进行 , 即 每 次 处 理 128 [ΠΚ]. ΠΏ ΡΕ ΚΙ encryption() 的 具 
体 实现 代码 见 程序 清单 13-4。 


程序 清单 13-4 
Ol void RC_6::encryption (word in[],word cut[]) 
a { 
03 word A,B,C,D; 
04 A-in[0]; 
05 B= in[1]* S[0]; 
06 C- in[2]; 
07 D-in[3]* S(1]; 
08 inti; 
09 for (i= 1;i< = 20;i+ +) 
10 { 
11 encHelper (i,A,B,C,D) ; 
12 } 
B out [0]- &- S[42]; 
14 out [1]- B; 
15 out [2]- œŒ S[43]; 
16 out [3]- D; 
W } 


在 程序 清单 13-4 中 ,第 4 行 代码 到 第 8 行 代码 是 将 输入 的 明文 分 别 赋 给 4 个 word 型 
变量 ,第 9 行 代 码 到 第 12 行 代码 是 进行 20 轮 加 密 , 每 轮 加 密 过 程 通过 函数 encHelper() 来 
完成 ,第 13 行 代码 到 第 16 行 代码 是 将 加 密 结 果 输 出 。 

单 轮 加 密 函 数 encHelper() 的 实现 代码 见 程序 清单 13-5。 
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程序 清单 13-5 
0l void RC_6::encHelper (int i,word &A,word &B,word &C,word &D) 
2 { 
03 word u,t; 
04 u-rotL(D* (D+ D+ 1),5); 
05 t-rotL(B* (B+B 1),5); 
06 B= rotL(Mt,u)* S[2* i]; 
07 C rotL(C^u,t)* S[2* 151]; 
08 word temp- A; 
09 RB; 
10 B-C; 
1l C-D; 
12 D- temp; 
13 } 


encHelper() 函数 实现 了 两 个 基本 功能 , 单 轮 加 密 和 数据 交换 ,将 交换 后 的 数据 用 于 下 
一 轮 加 密 , 在 加 密 过 程 中 还 是 用 函数 rotL() 来 进行 循环 移 位 操作 ,rotL() 琐 数 为 生成 密 钥 


过 程 中 所 使 用 的 函数 , 见 程序 代码 清单 13-3。 
RC6 算法 的 解密 过 程 是 加 密 过 程 的 逆 过 程 ,具体 实现 代码 见 程 序 清单 13-6 。 
程序 清单 13-6 


Ol void RC_6::decryption (word in[],word cut[]) 


a2 { 

03 word A,B,C,D; 

04 Be in[0]- S[42]; 

05 B-in[1]; 

06 C= in[2]- S(43]; 

07 D-in[3]; 

08 inti; 

09 for (i= 20;i> =1;i--) 
10 { 

11 decHelper (i,D,A,B,C); 
12 } 

13 out [0]- A; 

14 out [1]- B- S[0]; 

15 out [2]- C; 

16 out [3]- D- S[1]; 
zy 


在 解密 过 程 中 ,首先 将 密 文 赋 给 4 个 word 型 变量 ,然后 进行 解密 ,第 9 行 代码 到 第 12 行 
代码 为 20 轮 解密 过 程 , 在 解密 过 程 中 使 用 了 单 轮 解密 函数 dec Helper O 函数 来 进行 单 轮 解 


密 ,decHelper() 函 数 的 具体 实现 代码 见 程 序 清单 13-7。 
程序 清单 13-7 


Ol void RC_6::decHelper (int i,word &A,word &B,word &C,word &D) 
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吧 { 

03 word u,t; 

04 u-rotL(D* (D+ D+1),5); 
05 t-rotL(B* (BrBr1),5); 
06 C- rotR(C- S[2* i*1],t)^u; 
07 B= rotR(A- S[2* i],u)^t; 
08 word temp- D; 

09 D-C; 

10 GB; 

1 BA; 

R P= temp; 

B } 

decHelperO PRACT JE BEIT ft BF PA Ja ETT ΑΝ E H F F — 2 ΜΗ aE ae rh 


还 使 用 了 循环 移 位 函数 rotR() 来 进行 循环 移 位 ,函数 rotR() 的 具体 代码 可 参考 程序 清 
单 12-6 完成 ,只 需 将 函数 名 称 改 为 word RC_6;:rotR(word x,word y) 即 可 。 


13.2.4 RC6 算法 测试 


RC6 算法 的 测试 过 程 通过 主 函 数 main() 以 及 测试 函数 test() 来 进行 。 通 过 主 函 数 来 
设置 用 户 密 钥 和 明文 ,通过 test() 函 数 来 测试 加 密 和 解密 过 程 。 设 置 明文 的 函数 为 
setPlainText() ,函数 的 具体 代码 见 程 序 清单 13-8。 


程序 清单 13-8 


Ol void RC_6::setPlainText (word pText []) 


wm { 


0 } 


inti; 
for (i= O7i< 47i++) 
{ 
plainText [i]=plext [i]; 
} 


setPlain Text O A% {952 ΚΚ Je i A BJ word 型 明文 数组 ,函数 实现 的 功能 是 将 用 户 输入 
的 明文 数组 赋 给 类 明文 数组 ,RC6 算法 每 次 处 理 的 数据 为 4 个 word 型 数据 。 
具体 测试 的 过 程 通过 函数 test() 来 完成 ,test() 函 数 的 具体 代码 见 程 序 清单 13-9。 


程序 清单 13-9 


Ol void RC_6::test() 


2 { 


88985828 


inti; 
cout<< "The PlainText:"<< endl; 
for(i-0;i«4;i*-*) 
{ 

cout<< hex«« plainText [1]«« " "; 
} 
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09 cout<< endl; 

10 encryption (plainText, cipherText) ; 

1 cout<< "The CipherText :"<< endl; 

12 for (i= O;i< 4;i++) 

B t 

14 cout<< hex<< cipherText [i]«« " "; 
15 } 

16 cout<< endl; 

17 decryption (cipherText, deCipherText) ; 
18 cout«« "The deCipherText:"«« endl; 

19 for (i= 0;i« 4;i++) 

20 { 

2 cout<< hex«« deCipherText [1]«« " "; 
2 } 

23 cout<< endl; 

2 1 


测试 过 程 包括 加 密 测试 与 解密 测试 两 部 分 ,具体 测试 过 程 的 驱动 通过 主 函 数 main O μά 
数 来 进行 ,main() 函数 的 具体 代码 见 程序 清单 13-10。 


程序 清单 13-10 
ΟΙ int main() 
e { 
03 RC 6 rc6; 
04 unsigned char key[b]- ( 0x11, Ox11, 0x11, 0x11, 0x22, 0x22, 0x22, 0x22, 
05 0x33, 033, 0x33, 0x33, 0x44, 0x44, 0x44, 0x44) ; 
06 rc6.setKey (key) ; 
07 word pText [4] ; 
08 Prext [0]= 0x12121212; 
09 PText [1]= 0x34343434; 
10 prext [2]= 0x45454545; 
11 Prext [3]= 0x56565656; 
2 rc6.setPlainfext (pText) ; 
13 rc6.test (); 
14 return 0; 
15 } 


main O 函数 主要 实现 输入 用 户 密 钥 和 明文 ,然后 调用 ΚΟ 6 类 的 test O 函数 来 进行 测 
试 ,具体 测试 结果 如 下 : 


The PlainText: 

12121212 34343434 45454545 56565656 
‘The CipherText: 

87ca42e3 a0923af5 c016113d 94f9cado 
The deCipherText: 

12121212 34343434 45454545 56565656 
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在 对 明文 加 密 后 再 进行 解密 得 到 解密 后 的 明文 与 原先 输入 的 明文 一 致 。 


13.3 习题 与 实践 题 


13.3.1 习题 
1. 试 详细 说 明 RC6 加 密 算 法 的 加 密 和 解密 的 基本 过 程 。 
2. 试 详细 说 明 RC6 加 密 算法 的 密 钥 生成 的 基本 原理 。 
13.3.2 实践 题 


参考 13.2 节 的 关于 RC6 加 密 算法 的 实现 过 程 ,根据 自己 的 理解 编程 完成 RC6 加 密 算 
法 ,要 求 : 待 加 密 的 消息 存储 在 相关 文件 中 ,加 密 后 的 数据 保存 到 相关 文件 ,并 且 具 备 检验 
解密 是 否 正确 的 功能 。 


NA EET 


公 钥 密码 算法 也 称 为 非 对 称 密码 算法 , 公 钥 密码 算法 最 早 是 由 雷 夫 . BR 
(Raph C. Merkle) Z 1974 年 提出 来 的 , 1976 55. 3) SE (Whitfidd Diffie) 5 J 7 & (Martin 
Helmanj 两 位 学 者 以 单 向 陷 门 函数 和 单 向 暗 门 函数 为 基础 ,进行 信息 的 发 送 与 接 
收 ,至 此 , 公 钥 密码 算法 开始 走向 实际 应 用 。 

公 钥 密码 算法 的 基本 特征 是 加 密 密 钥 可 以 公开 传播 而 不 会 危及 密码 体制 的 
安全 性 ,从 加 密 密 钥 计算 得 到 解密 密 钥 是 难 解 的 。 例 如 , RSA 算法 的 安全 性 是 基 
于 大 整数 的 素 分 解 问题 的 难 解 性 . 昌 Gamal 公 钥 密码 算法 的 安全 性 是 基于 有 限 域 
上 离散 对 数 问题 的 难 解 性 ,Menezes Vanstone 公 钥 算法 的 安全 性 是 基于 椭圆 曲线 上 
的 离散 对 数 问题 的 难 解 性 。 


RSA 算法 是 公 钥 密码 算法 中 最 经 典 且 应 用 最 广泛 的 加 密 算 法 ,在 加 密 、 数 字 签 名 和 网 
络 协议 中 具有 广泛 的 应 用 ,RSA 算法 以 大 数 运算 为 基础 ,其 安全 性 主要 依赖 于 对 极 大 整数 
进行 因数 分 解 的 难题 。 


14.1| 基础 知识 


14.1.1 计算 复杂 性 理论 


计算 复杂 性 理论 是 研究 计算 问题 时 所 需要 的 时 间 和 空间 资源 ,对 于 密码 学 来 说 ,计算 复 
杂 性 理论 提供 了 一 种 分 析 不 同 密码 技术 和 算法 的 计算 复杂 性 ,通过 对 密码 技术 和 算法 的 复 
杂 性 分 析 来 确定 相关 密码 技术 与 算法 的 安全 性 。 

计算 复杂 性 理论 在 密码 学 上 主要 研究 算法 在 执行 时 所 需要 的 计算 资源 和 计算 时 间 。 


14.1.1.1 算法 复杂 性 


算法 复杂 性 是 对 算法 计算 所 需要 的 时 间 和 空间 的 一 种 度量 ,算法 复杂 性 通常 通过 时 间 
复杂 性 T(time complexity) 和 空间 复杂 性 SCspace complexity) 两 个 变量 来 进行 度量 。 

从 算法 的 组 成 来 看 ,算法 主要 由 控制 结构 (如 顺序 结构 、 分 支 结构 和 循环 结构 等 ) 和 基本 
操作 组 成 ,算法 的 时 间 复 杂 性 主要 是 指 这 两 部 分 的 综合 效果 ,在 进行 算法 比较 时 ,通常 会 选 
择 一 种 特定 问题 的 基本 操作 来 进行 分 析 , 用 这 个 基本 操作 的 执行 次 数 作为 算法 的 时 间 复 杂 
性 的 度量 。 

算法 时 间 复 杂 度 通常 是 问题 规模 的 函数 ,假设 算法 中 的 基本 操作 的 次 数 是 问题 规 
Bin BE EA ERE FG ,那么 ,算法 的 时 间 度 量 可 以 描述 为 T(n) 二 OCf(n)), 即 大 OO 符号 。 
OCS G0 ) 称 为 算法 的 渐进 时 间 复杂 度 ,简称 为 时 间 复 杂 度 。 

示例 14-1 查找 具有 个 元 素 的 一 维 数组 中 的 最 大 元 素 的 算法 ,可 以 采用 依次 遍历 数 
组 中 的 元 素 , 并 记 下 最 大 元 素 的 下 标 , 试 计算 该 算法 的 时 间 复 杂 度 。 

解 问题 的 规模 为 n, 基 本 操作 为 比较 ,次 数 为 f(n) =n, PA AY aj ZR BE T) = 
OCfG)) =OM 。 

示例 14-2 ”假设 某 问 题 具有 指数 复杂 性 ,T(z) 三 6X2" 十 姑 , 试 计算 该 问题 的 时 间 复 
杂 度 。 


fg `M n24 Hn? <2", ALA Tn) <6 X 2"+2"=7X 2", 8 TG0 =O(2"), 
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常见 的 时 间 复 杂 度 有 : 常数 阶 时 间 复 杂 度 (O(1))、 多 项 式 阶 时 间 复 杂 度 (如 O), 
OG?) .指数 阶 时 间 复 杂 度 (如 O(2")) 和 对 数 阶 时 间 复 杂 度 (如 O(nlogn) ,O(logn) ) 等 。 

算法 的 空间 复杂 度 与 时 间 复 杂 度 类 似 ,假设 算法 所 需 存 储 空间 为 问题 规模 的 某 个 函 
数 jz) 。 那 么 算法 的 空间 复杂 度 为 SG —OCfGD). 

目前 ,算法 复杂 度 主要 考虑 算法 的 时 间 复 杂 度 。 


14.1.1.2 NP 问题 简介 


在 解释 NP 问题 之 前 ,首先 需要 理解 多 项 式 时 间 、P 问题 和 非 确 定性 问题 。 

多 项 式 时 间 (polynomial time) ”在 计算 复杂 性 理论 中 ,是 指 一 个 问题 的 计算 时 间 ΤῸ.) 
不 大 于 问题 规模 的 多 项 式 倍数 ,T(n) 二 O(n )。 

P 问题 (polynomial) 是 指 可 以 在 多 项 式 时间 内 被 确定 机 (通常 是 指 计算 机 ) 解 决 的 问 
题 , 即 存在 多 项 式 时 间 的 算法 的 一 类 问题 , 称 为 P 问题 。 

确定 性 问题 通常 是 指 只 需要 按照 公式 推导 ,按部就班 一 步 一 步 执行 就 可 以 得 到 结果 。 
例如 ,执行 加 、 减 、 乘 , 除 运算 等 。 

非 确 定性 问题 是 指 无 法 按部就班 地 直接 运算 而 得 到 结果 。 例 如 ,将 一 个 大 合 数 分 解 成 
两 个 大 素数 的 问题 ,现在 还 没有 一 个 公式 将 一 个 大 合 数 代 入 之 后 就 可 以 得 到 两 个 大 素数 的 
公式 。 对 于 这 类 问题 的 答案 是 无 法 直接 计算 得 到 的 ,只 能 通过 间接 的 “猜测 ?来 得 到 结果 ,也 
就 是 非 确定 性 问题 。 

非 确定 多 项 式 (non-deterministic polynomial, NP) 问 题 是 指 可 以 在 多 项 式 时 间 内 被 非 
确定 机 解决 的 问题 。 简 单一 点 说 : 存在 多 项 式 时 间 的 算法 的 一 类 问题 , 称 之 为 P 类 问题 ;至 
今 没 有 找到 多 项 式 时 间 算 法 解 的 一 类 问题 , 称 之 为 NP 问题 。 


14.1.2 中 国 剩余 定理 


中 国 剩余 定理 或 孙子 定理 ,最 早 见于 《孙子 算 经 ) 的 “ 物 不 知 数 ” 问 题 : 今 有 物 不 知 其 数 ， 
三 三 数 之 有 二 、 五 五 数 之 有 三 ,七 七 数 之 有 二 , 问 物 有 和 多少? 这 个 问题 的 本 质 就 是 找 出 被 3， 
5 和 7 除 时 余数 分 别 是 2.3 和 2 的 所 有 整数 x. 
定义 14.1 设 a,b,m 都 是 整数 ,如 果 m| Cao). WER a AD 模 m 同 余 , 记 为 
a 三 b(mod m) 
那么 ,将 “ 物 不 知 数 ” 问 题 使 用 同 余 式 组 表示 就 是 
x = 2(mod 3) 
x = 3(mod 5) 
x = 2(mod 7) 
定义 14. 1 也 可 以 描述 为 : 如 果 a 二 6 十 kn 对 某 些 整 数 k 成 立 , 那 么 a=b(mod n) ,如 果 
a 为 正 整 数 ,6b 为 0~n 之 间 的 正 整数 ,那么 可 以 将 4 看 做 a Bin 整除 后 的 余数 ,也 称 为 a 模 
n 的 余数 ,有 时 a 也 被 称 为 Bin A. 
从 0 到 nn 一 1 的 集合 构成 了 模 的 完全 剩余 集 ,也 就 是 说 ,对 每 一 个 整数 4, 它 模 n 的 余 
数 是 从 0 到 n—1 的 某 个 数 。 
模 运 算 将 计算 结果 限制 在 某 一 个 范围 之 内 ,使 用 模 运 算 会 使 得 计算 过 程 比较 容易 , 模 运 
算 和 普通 运算 一 样 具 有 可 交换 、 可 结合 等 特性 ,常用 的 模 运 算 规 律 如 下 : 


(a +6) mod n = ((a mod n) + (b mod n)) mod n 
(a — b) mod n = ((a mod n) — (b mod n)) mod n 
(a X b) mod n = ((a mod n) X (b mod n)) mod n 
Ca X (b+ 9)) mod n = (((a X b) mod n) + (Ca X c) mod n)) mod n 


定理 014.1. 中 国 剩余 定理 设 mr ,ms,…,m, 是 两 两 互 素 的 正 整 数 ,al ,as ,… 


数 , 则 同 余 方 程 组 
x = a;(mod m;), i= 1,2,.,r 
Bi M—mym;-m, 有 唯一 解 
r= SaiM.y;mod M 


ici 
其 中 M; —M/m;«yi;—M;! mod m: si=1,2; sro 
对 于 “ 物 不 知 数 ”问题 有 ,ma =3,m =5 m3 —7.a4—2.a; =3,a, =2 MA 
M = mmm; 9960537 105 
Μι M/m, m; X ms 5X7= 35 
M, M/m; m; X ms 3x7—21 
M; M/m; m; X ms 3x5 15 
yı = Mi! mod m, = 35 mod 3 = 2 
yo = M; mod m; = 21 mod 5 = 1 


ys = M; mod m, = 15° mod 7 = 1 
从 而 得 
3 
r= DaiMiyimod M 
i=l 


=(2 X 35 X 2 + 3 X 21 X 1 + 2 X 15 X D mod 105 
=23 
因此 ,有 “ 物 不 知 数 ” 问 题 的 答案 为 23。 


14.1.3 Euler 函数 


定义 14.2 Euler( 欧 拉 ) 函 数 , 也 称 为 Eulerp 函数 , 记 作 g(n), 它 表示 小 于 nn 并 与 n E. 


素 的 非 负 整数 的 个 数 。Euler 函数 可 以 表示 为 
9G) =| (z< |0< z< n—,gcd(z,n) = 1} | 
WME n 是 一 个 素数 ,显然 有 G(r) —n—1. 
定理 14.2 WMR n—pXq.H. p 和 g 互 素 ,那么 p(n) 二 (p 一 1)(g 一 1)。 


14.1.4 Euler 定理 和 Fermat 小 定理 
定理 14.3(Euler 定理 ) Z zx 和 nn 都 是 正 整 数 , 如 果 gcd(z,n) 二 1, 则 


ze = ]mod n 
根据 Euler 定理 可 以 推广 得 到 Termat( 费 马 ) 小 定理 。 
推论 14.1 设 z 和 Zp 都 是 正 整 数 ,如 果 p 是 素数 并 且 ged, 22 — 1. Jt] 
z^ = 1(mod p) 


κα, 是 整 


(14-1) 


(14-2) 
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定理 14. 4(Fermat 小 定理 ) E x lp 都 是 正 整 数 ,如 果 p 是 素数 , 则 
x’ = r(mod p) 
示例 14-3. 计算 31° mod 77, 
解 di gcd(3,77) =1, 48 9(77) = (7 X 11) =6 X 10=60, AAG Euler 4E FR f$ 3° mod 
77=1. WS 
319000 — 3166x60+40 
因此 
0 
示例 14-4 计算 5 模 11 的 乘法 逆 元 。 
解 由 11 为 素数 ,得 pg(11)==11 一 1==10, 由 Euler 定理 推论 得 5 模 11 的 逆 元 是 5， 
因为 
5"mod 11 = 1 


Euler pM Euler 定理 和 Fermat 小 定理 在 公 角 密码 算法 中 经 常 被 用 到 。 
14.1.5 ΒΘ 


在 运算 过 程 中 合理 使 用 模 运算 可 以 有 效 控制 运算 过 程 中 的 中 间 结 果 , 对 于 任何 一 个 长 
度 为 的 数 模 n, 其 中 间 运 算 结 果 都 不 会 超过 2k。 模 指数 运算 可 以 转换 为 一 系列 乘法 运算 ， 
有 效 降 低 运 算 过 程 中 的 中 间 结 果 。 

在 进行 模 指 数 运算 时 ,又 可 以 将 模 指 数 运算 分 为 两 类 ,一 类 是 2 的 窒 次 方 的 模 运 算 , 另 
一 类 不 是 2 的 宕 次 方 的 模 运算 。 对 于 是 2 的 宪 次 方 的 模 运 算 比 较 简 单 ,例如 ,要 计算 a° 
mod n, 并 不 需要 进行 7 次 乘法 和 一 次 模 运 算 , 而 可 以 简化 为 3 次 较 小 的 乘法 和 3 次 较 小 
的 模 

(a Xa X a X a X a X a X a X a)mod n — (Ca! mod n)! mod n)’ mod n 

同样 ,对 于 a mod ”计算 过 程 可 以 转换 为 

amod n — (((a’mod n)*mod n)*)?mod n 

对 于 不 是 2 WYER h AY Bie E ,其 运算 方法 与 是 2 EU a YB aes PEA, A BEG 
数 转换 为 2 的 宕 次 方 之 和 ,转换 的 方法 也 比较 简单 ,只 需要 将 指数 转换 为 二 进 制 ,再 进行 转 
换 即 可 。 例 如 ,计算 a? mod ”首先 将 27 转换 为 二 进 制 ,27 的 二 进 制 表 示 为 11011, X FE SË 
将 a” mod n 的 计算 转换 为 


a?! mod n 一 Qi+H2+8+16) 


mod n 
— (a X a? X a* X a5) mod n 
— (Ca! mod n) X (αἴ mod n) X (amod n) X a) mod n 
这 样 就 将 不 是 2 EU TT BJ Ris Oy 2 RKTT ie k. F De ET Kis HAY C++ 
源 程序 。 
程序 清单 14-1 


Ol word modExp (word x,word y,word n) 
am { 

03 int 5-1; 

04 while (y) 
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05 t 

06 if(y&l) 

07 { 

08 s= (s* x)$n; 
09 } 

10 y>>=1; 

1 x= x* x)$n; 

12 } 

13 retum s; 


14 } 


程序 清单 14-1 中 使 用 的 word 型 数据 是 为 了 方便 处 理 ,也 可 以 直接 使 用 unsigned int, 
程序 实现 的 功能 是 计算 a’ mod nn, 并 返回 计算 结果 。 

以 计算 2? mod n=3° mod 11 为 例 ,6 用 二 进 制 可 以 表示 为 (110), ,那么 6&1=0, y= 
2) -- 3.1 x— (z * x) mod n=(3 * 3)mod 11==9; 再 计算 y&1=1, WIT s=s * x 
mod n=1*9 mod 11=9,y>>1=1,iF#* x — Gr * x) mod n= (9 * 9) mod 11—4; 42 iT 3 
y&1=1, 则 计算 s— 5 * x mod n=4 * 9modll —3; iil $$ y 1-— 0,3: RAR. 48 8 
3 mod 11 王 3。 该 计算 过 程 是 效率 较 高 的 寡 模 运算 方法 FOP A T ΤΕΒΕ ED ΤΕΕ. 


14.2| 素数 与 素性 测试 


素数 又 称 质数 , 指 在 一 个 大 于 1 的 整数 中 ,除了 1 和 这 个 整数 自身 外 ,不 能 被 其 他 整数 
整除 的 数 。 比 1 大 ,不 是 素数 的 数 称 为 合 数 。 素 数 的 个 数 是 无 限 的 ,在 公 钥 密码 学 中 常用 到 
大 的 素数 。 

两 个 数 互 素 是 指 : 除了 1 之 外 没有 公 因 子 的 两 个 整数 称 为 互 素 ,或 者 说 ,两 个 数 的 最 大 
公 因 子 为 1 的 数 称 为 互 素 。 

检查 一 个 正 整数 N 是 否 是 素数 的 最 简单 的 方法 是 试 除法 ,将 该 数 N 用 小 于 等 于 VN 的 
所 有 素数 去 试 除 , 若 均 无 法 整除 , 则 N 为 素数 。 对 于 一 个 比较 小 的 正 整数 ,采用 试 除 法 是 一 
个 简单 可 行 的 方法 ,而 对 于 大 数 , 采 用 试 除法 不 是 可 行 的 方法 ,例如 : 有 一 大 数 为 2””* 大 小 ， 
车 采 用 试 除 法 需 检验 2” 次 ,这 在 计算 上 是 不 可 行 的 。 

检验 一 个 大 数 是 否 是 素数 ,通常 采用 一 些 特定 的 检测 方法 ,目前 素数 测试 的 方法 包括 两 
大 类 ,一 类 是 真 素数 测试 法 ,一 类 是 概率 素数 测试 法 。 真 素数 测试 法 的 速度 通常 比较 慢 , 或 
者 仅 针 对 某 一 类 素数 进行 测试 ,例如 : Lucas-Lehmer 算法 是 针对 Mersenne 数 的 测试 算法 ， 
这 类 素数 测试 方法 在 密码 学 的 应 用 中 受到 了 一 定 的 限制 。 概 率 素数 测试 法 比较 实用 ,测试 
速度 较 快 ,常用 的 概率 素数 测试 方法 包括 Rabin-Miller 素性 检测 法 、Solovag-Strassen 素性 
检测 法 和 Lehmann 素性 检测 法 等 。 

基于 概率 的 素数 测试 方法 的 基本 思想 为 : 给 定 一 个 正 奇数 n Z G0 HER n 的 非 负 整数 

合 , 定 义 一 个 集合 W(n) 属 于 Z(n) 并 有 如 下 属性 : 

(1) 给 定 一 个 属于 集合 Z(n) 的 非 负 整数 a, 可 以 在 多 项 式 时间 内 判断 a 是 否 属于 集合 

Win). 


97. 
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(2) WR 是 一 个 素数 ,那么 Z(n) 中 属于 集合 W(m) 的 元 素 个 数 为 0。 

(3) 如 果 是 一 个 合 数 ,那么 Z(n) 中 属于 集合 W(n) 的 元 素 个 数 大 于 等 于 n/2, 

WR n 是 一 个 合 数 ,那么 集合 W(n) 中 的 元 素 称 为 合 数 的 证 据 ,而 集合 L(n) 二 Zn) 一 
Wr) 'P 2538 ROS EK 的 伪证 。 

基于 概率 的 素数 测试 算法 的 基本 思路 是 : 定义 一 个 符合 以 上 规则 的 集合 W (n) ,对 待 测 
整数 随机 地 选择 属于 集合 Z(n) 的 元 素 4a, 检测 a 是 否 属于 集合 W(n) ,如 果 a RFW), 
则 可 以 确定 n 是 一 个 合 数 ,如 果 a 不 属于 Wn), 则 n 是 素数 的 概率 大 于 等 于 1/2。 对 n 随 
机 地 选择 元 素 a 进行 1 轮 独 立 的 测试 , 则 o 是 素数 的 可 能 性 可 以 被 控制 在 1 一 (1/2)’ 以 上 。 


14.2.1 Rabin-Miller 素性 检测 法 


Rabin-Miller 是 基于 Gary Miller 的 基本 思想 ,由 Michael Rabin 进行 扩展 得 到 的 一 个 
算法 ,Rabin-Miller 是 Fermat 小 定理 的 一 个 变形 改进 , 它 的 基础 理论 是 由 Fermat 小 定理 引 
伸 而 来 。 

Rabin-Miller 素性 检测 法 的 基本 方法 为 : 要 测试 n 是 否 为 素数 ,首先 要 将 n 一 1 分 解 为 
2'q ,其 中 是 2 整除 一 1 的 次 数 , 即 


n—1 = 2q 
SR HER — TE a 1 ίαση]. HA FIRE IKE n 的 余数 : 
ata... aT ἡ, αρα (14-3) 


根据 Fermat 小 定理 ,若是 素数 , 则 a”! mod n —a'^! mod n= 1。 序 列 (14-3) 中 ,可 能 在 
az 之 前 就 存在 余数 为 1 的 元 素 。 将 序列 (14-3) 表 示 为 {a”*,0 壹 j 壹 k} WA Hn REM, 
则 有 某 个 最 小 的 j OS F<) ff a? mod n= 二 1, 分 两 种 情况 进行 考虑 : 

M j=0 WA a*—1 mod n=0. 

4 1<j <k BI Ca?! — 1) mod n—(a? *—1)(a2 5-1) mod n—0, Bll n ERR a? *— 1 sË 
a” “十 1, 由 于 j 是 使 n 整除 a”? 一 1 的 最 小 整数 ,因此 不 能 整除 a* “一 1, 所 以 nn 整 
lk a? "十 1, 即 αἲ "mod n=(—1)mod n=n—1. 

Bie Wn ERB BAM Ca a sensa aO S8 — A TBH 1.3 IER B 
的 某 元 素 为 "一 1。 

具体 实现 Rabin-Miller 素性 测试 的 过 程 如 下 : 

(1) 选择 一 个 待 测 随机 数 ,计算 k(2 整除 n— 1 的 次 数 ) 。 

(2) H n—1—2'q il SE qu 

(3) 随机 选取 整数 a. I<a<n-1, 

(4) 如 果 at mod n— 1. 9l] n A REBAR. 

(5) 对 于 1<j<k.a” *mod 7 一 7 一 1, 则 ”可 能 是 素数 。 

(6) 否则 n EER. 

示例 14-5 使 用 Rabin-Miller 素性 检测 法 ,判断 37 是 否 是 素数 。 

解 由 ?一 1 王 37 一 1 王 36 一 22X9, 得 人 一 2,q 一 9。 

根据 1 二 a 二 n 一 1: 

选取 a=20,20° mod 37 王 31, 既 不 为 1 ,也 不 为 36 ,继续 测试 。 计 算 (20?) mod 37=36, 
因此 测试 返回 可 能 是 素数 。 


14.2 素数 与 素性 测试 199. 


选取 a=21,21° mod 37 王 36, 因 此 测试 返回 可 能 是 素数 。 

对 在 1~ 36 之 间 的 所 有 整数 执行 测试 算法 ,都 返回 可 能 是 素数 ,这 与 n 是 素数 是 一 致 的 。 

示例 14-6 ”使 用 Rabin-Miller 素性 检测 法 ,判断 45 是 否 是 素数 。 

解 din—1—45—1—44—2? X11, 得 人 一 2,q 一 11。 

根据 1 二 a 二 n 一 1: 

选取 a=20,20" mod 45 王 5, 既 不 为 1, 也 不 为 44 ,继续 测试 。 计 算 (20”)?mod 45=25, 
同样 既 不 为 1, 也 不 为 44。 

根据 测试 方法 的 第 (5) 条 ,已 经 对 所 有 的 j 进行 测试 ,最 终 返 回 是 合 数 。 


14.2.2 Solovag-Strassen 素性 检测 法 


14.2.2.1 Solovag-Strassen 素性 测试 法 基础 


Solovag-Strassen 素性 检测 法 是 Robert M. Solovag 和 Volker Strassen 开发 的 一 种 基 
于 概率 的 基本 检测 法 ,在 该 算法 中 使 用 了 Jacobi( 雅 可 比 ) 函 数 来 测试 一 个 整数 是 否 是 素数 。 
定义 14.3 设 a 和 p 是 两 个 整数 , 且 p 是 素数 。 如 果 存 在 整数 7, 使 得 a=r (mod p) 
成 立 , 则 称 a 是 模 p 的 二 次 剩余 。 如 果 不 存在 整数 ,使 得 a= (mod p) 成 立 , 则 称 a 是 模 
p 的 二 次 非 剩余 。 
例如 : p= 二 5, 那 么 二 次 剩余 是 1,4。 
1? = 1 = 1(mod 5), 2? = 4=4(mod 5), 
3 = 9 = 4(mod 5), 43 = 16 = 1 (mod 5) 
WA x fB n] W e 
αὖ = 2(mod 5), αὖ = 3(mod 5) 
因此 ,对 模 7 的 二 次 非 剩余 是 2.3. 
定义 14.4(Legendre( 勒 让 德 ) 符 号 )” 对 于 整数 a 和 素数 p, 定 义 legendre 符号 


(ος. 
0, WR a = Omod p 
(<)- +1, 如 果 不 满足 a 三 0mod p. HIT Af 4° EC a? == a(mod p) 
— 1. 如 果 不 存在 +, 使 得 x? = a(mod p) 
当 (E) ο ο (2) 一 1 nra ο. 
Legendre 符号 记 作 Lla, p) Legendre 符号 在 实际 计算 过 程 中 可 以 采用 以 下 方法 : 
° 如 果 a E p ER MEA LG p)—0, 
。 如 果 a 是 对 模 p 的 二 次 剩余 ,那么 ,L(a,p) 二 1。 
。 如 果 a 是 对 模 p 的 二 次 非 剩 余 , 那 么 ,L(a,p) 二 一 1。 
定义 14.5(Jacobi 符号 ) Jacobi 符号 是 Legendre 符号 的 推广 ,对 于 整数 a 和 正 奇数 ， 
n 宇 3,n 的 素 分 解 为 
n = pî p? pr 
其 中 ϱ >22, HARR em. 1.2. r, WERE a 有 
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JOE Jacobi 符号 。 
Jacobi 符号 具有 如 下 性 质 : 
(1) 如 果 nn 是 素数 ,那么 ,Jacobi 符号 (各) 与 对 应 的 Legendre 符号 的 含义 相同 。 


(2) 如 果 a=b(mod n) ,那么 (<)=(4). 


n 
(3) (4 )- 0. 若 gcd(a,n)Z1, 
bey. # gedla,n)=1 ° 


OC he a) 
οκ 


(ῷ αυ 若 n=1(mod 4), 


—1, #4 n=3(mod 4) i 
ay d =1,7(mod 8), 
(7) (ἔ)--υ- = ma 
n —]. # n=3.5(mod 8) 
(8) 如 果 a Alb AR, ajb 互 素 ,那么 


(DD 


J(lab)=(—1) “ J(b,a). 

Jacobi 符号 在 计算 中 可 以 使 用 Ja,n) 来 标记 ,在 具体 计算 过 程 中 可 以 使 用 以 下 规则 : 

° J(0,n)=0, 

° J(1,n)=1, 
J(aXb,n)=J(a,n)X J(b.n)., 
WRG? —1)/8 是 偶数 ,那么 (200 πο μοι —1. 
J(asn)=J((a mod n) D, 
JGasbi X b) =J (ash) XJ (asb2). 
如 果 a Alb 都 是 奇数 , 且 它 们 互 素 ( 最 大 公 因 子 为 1) ,那么 : 如 果 (o 一 1)(0 一 1)/4 是 
偶数 , 则 J Ca 0) —J (ba) ,如 果 (a 一 1) (6 一 1)/4 是 奇数 , 则 Ca 0) — —J Osa. 
定理 14. 5(Euler 公式 ) ” 设 p 是 一 个 素数 ,那么 对 于 任意 蒜 数 a 有 


alus 
(4) =a (mod p) (14-4) 
定理 14. 6(Solovag Strassen 定理 ) ”对 于 一 个 奇数 nn, 且 n>2. H FEES n HX 
的 整数 a ,成 立 
(4) =a (mod n) (14-5) 


14.2.2.2 Solovag-Strassen 素性 测试 法 


设 p 是 一 个 待 测 数 ,Solovag-Strassen 素性 测试 方法 可 以 描述 如 下 : 
CD 选择 一 个 小 于 p 的 随机 数 a。 
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(2) 计算 gcd(a,p), 若 gcd(a,p) 隆 1, 则 4a 与 p 不 互 素 , 所 以 jp 是 合 数 ,测试 结束 。 

(3) 计算 j—a 77" mod p, 

(4) 计算 Jacobi 符号 J (a,p)。 

(5) WR GAT (asp) A p AERA. WKAR S 

(6) WR j= Ca» p) A p Aë # Ek BU n| e TE 2: £ Jë: 50% ,重复 到 第 一 步 测试 ,直到 
测试 到 所 要 求 的 概率 结束 。 

Solovag-Strassen 素性 测试 次 数 1 确定 待 测 数 p 是 合 数 的 概率 ,在 通过 1 次 测试 之 后 ,p 
是 合 数 的 概率 小 于 1/2’. 

示例 14-7 使 用 Solovag-Strassen 素性 检测 法 ,判断 221 是 否 是 素数 。 

解 n= 二 221, 随 机 选择 一 个 数 4a 王 47 二 n, 计 算 : 

j =a?” mod n = 47! mod 221 —— lmod 221 


J (47,221) = (25; )mod 221 —— 1mod 221 


因此 ,47 是 221 为 素数 的 伪证 ,221 不 是 素数 的 可 能 性 至 多 是 50% ,继续 选择 a=2<n 
进行 测试 ,计算 
j = a7? mod n = 2™ mod 221 = 30mod 221 


=- (2 = 
J€25:221) = (zi; moa 22] =— 1mod 221 


因此 2 是 221 不 是 素数 的 证 据 , 所 以 221 不 是 素数 ,221 二 13X17。 
14.2.3 Lehmann 素性 检测 法 


Lehmann 素性 测试 方法 是 Lehmann 根据 Fermat 小 定理 推导 出 来 的 一 种 素性 测试 方 

法 ,假设 p 是 一 个 素数 ,那么 ,有 
a^! = Ίππο p 
将 上 式 改写 为 
a’! — 1 = 0mod p 
根据 公式 A* — B?=(A+B)(A—B), A WBS 
a! —] = (q^ — 1) (a? +1) 
根据 
P | z < y)=>(p | z) V OI» 

因此 ,如 果 a^ —1—0 mod p 成 立 , 那 么 ,下 面 方程 同样 成 立 : 

a??? — 1 = 0mod pea??? = Imod pea??? = 1G# Z, 中) 

a? 十 1 = 0mod p> a??? =— Imod p-4 7 ——] = & — 1GE 2, tB) (14-6) 
1811 k WK Lehmann 素性 测试 的 数 是 素数 的 概率 为 1 一 1/2*。 

假设 待 测 数 为 p ,那么 Lehmann 素性 测试 过 程 如 下 : 

CD 选择 一 个 小 于 p 的 随机 数 a。 

(2) 计算 4^7?" mod p. 

(3) WF a^ 7 zÉ1 (mod p)sk a^^? ?zÉ— 1 (mod p) A p 是 合 数 ,测试 结束 。 

(4) 如 果 a=] (mod p) a^^" — — 1(mod p) ,那么 户 不 是 素数 的 可 能 性 最 多 
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是 50%。 
重复 上 述 测试 过 程 一 直到 所 需 的 测试 概率 结束 。 
示例 14-8 ”使 用 Lehmann 素性 检测 法 ,判断 221 是 否 是 素数 。 
解 p 二 221, 随 机 选择 一 个 a 二 3<p, 计 算 : 
a??? mod p = 3™ mod 221 = 87 关 1( 或 一 1) 
因此 p 不 是 素数 。 
示例 14-9 使 用 Lehmann 素性 检测 法 ,判断 223 是 否 是 素数 。 
WR p 二 223, 随 机 选择 一 个 a 二 3<p, 计 算 : 
497"? mod p = 3!!! mod 223 = 222 = 223— 1, 
因此 p 不 是 素数 的 可 能 性 最 多 是 50 96 ,再 继续 选择 一 个 a 二 5 二 p ,计算 : 
a4 mod p = 5!!! mod 223 = 222 = 223— 1, 
因此 p 是 素数 的 可 能 性 是 1 一 1/2: 。 依 次 类 推进 行 重复 计算 ,以 达到 计算 p 是 素数 的 概率 
要 求 为 止 。 


14.2.4 AKS 素性 检测 法 


AKS 素性 检测 法 是 由 三 位 印度 计算 机 科学 家 Agrawal、Kayal 和 Saxena 共同 研究 得 到 
的 一 种 在 多 项 式 时 间 内 确定 一 个 给 定 的 整数 是 素数 还 是 合 数 的 检测 法 ,AKS 素性 检测 算法 
可 以 用 于 确定 一 般 给 定 的 整数 是 否 是 素数 ,不 需要 满足 某 些 特定 的 条 件 , 例 如 Lucas-Lehme 
素性 检测 法 也 可 以 高 速 判 断 给 定 的 整数 是 否 是 素数 ,但 Lucas-Lehme 素性 检测 法 仅 对 
Mersenne( 梅 森 ) 素 数 有 效 ,而 类 似 的 Pepin 测试 则 仅 对 Fermat 素数 有 效 。 
AKS 素性 检测 主要 是 基于 以 下 定理 。 
定理 14.7 ”整数 n( 宇 2) 是 素数 , 当 且 仅 当 
(z Fa) = x" +a (mod n) (14-7) 
这 个 同 余 多 项 式 对 所 有 与 n BRA MR a 均 成 立 。 
但 使 用 该 同 余 多 项 式 并 不 能 使 素性 测试 在 多 项 式 时 间 内 完成 ,AKS 修改 同 余 多 项 式 ， 
以 降低 计算 过 程 的 复杂 度 。 
Gr +a)" = z" + a(mod x" ,n) (14-8) 
(14-8) 式 与 存在 多 项 式 f 与 g ,使 得 
Ga) —(2"* +a) = nf t-G'—Dg 


成 立 的 意义 是 等 同 的 。 
假设 待 测 数 为 n, 且 n> 1. ABA AKS 素性 测试 过 程 如 下 : 
CD IFERN a.b, HA a> 1.077 1. IE n=ab RL πα να RAR 
(2) Sd] r, fili f ο, (1) > log’? n 成 立 。 
(3) 对 于 a<r. E44 1 二 gcd(a,n) 二 n; 则 输出 是 合 数 ,测试 结束 。 
(4) 如 果 nr, 则 是 素数 ,测试 结束 。 
(5} 从 a=1 到 LVg(7)log n I: 
WMR Ceta)" Ar" +a (mod Ge 一 1,n)), 则 输出 是 合 数 ,测试 结束 。 
(6) 输出 n ERAL 
这 里 0,(n) 表 示 n mod r 的 阶 。 
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14.3| 大 数 运算 


在 各 类 计算 机 语言 中 ,基本 都 规定 了 各 自 基础 数据 类 型 所 能 处 理 数 据 的 长 度 , 变 量 的 使 用 
范围 也 受到 最 大 长 度 的 限制 ,例如 : 在 C++ 中 使 用 的 整 型 数据 的 最 大 长 度 为 64 位 ,用 16 进 制 
表达 的 最 大 数 为 0xXFFFFFFFFFFFFFFFF, 用 十 进 制 表示 则 为 18446744073709551615。 而 这 个 
等 级 大 小 的 整数 远 远 达 不 到 公 钥 密码 的 一 些 算法 的 要 求 ,例如 ,目前 公 钥 算法 的 主流 算法 
RSA 至 少 需 要 512 位 ,目前 通常 是 建立 在 1024 位 基础 上 ,并 且 还 有 继续 增长 的 趋势 ,因此 需要 
建立 一 些 专门 用 于 处 理 大 数 运算 的 库 或 类 来 解决 这 一 问题 。 


14.3.1 大 数 运算 的 基本 方法 


大 数 运算 通常 是 指 超出 编译 器 基础 数据 类 型 所 能 处 理 长 度 的 整数 运算 ,大 数 运算 的 处 
理 方 法 主要 有 以 下 几 种 : 
* 用 字符 串 表 示 大 数 一 一 将 大 数 用 十 进 制 字符 数 组 表示 ,然后 模拟 人 工 * 竖 式 计 算 ” 的 
方法 进行 计算 ,这 种 运算 方式 的 优点 在 于 简单 且 便 于 理解 ,但 是 , 它 的 缺点 也 显 而 易 
见 , 例 如 用 这 种 方式 表示 1024 位 的 大 数 ,所 需 的 十 进 制 的 位 数 达 数 百 位 ,进行 任何 
一 种 运算 都 需要 在 数 百 个 数组 元 素 上 进行 多 重 循环 ,同时 还 需要 大 量 的 临时 存储 空 
间 来 存储 计算 过 程 中 的 中 间 结 果 等 ,因此 运行 效率 较 低 。 
° 用 二 进 制 表 示 大 数 一 一 通过 使 用 计算 机 语言 中 的 位 运算 和 逻辑 运算 来 进行 处 理 ,使 
用 这 种 方法 来 处 理 大 数 运算 ,代码 设计 比较 复杂 ,程序 的 可 读 性 较 差 并 难以 理解 。 
。 用 nn 进 制 表示 大 数 一 一 在 使 用 数组 来 处 理 大 数 时 , 进 制 越 大 ,数组 的 大 小 越 小 ,这 样 
可 以 有 效 降低 运算 过 程 的 时 间 复 杂 度 和 空间 复杂 度 , 并 提高 运算 效率 。 
使 用 nn 进 制 来 进行 大 数 运算 是 目前 比较 有 效 的 一 种 方法 ,对 于 不 同 的 语言 环境 和 编译 
器 ,可 以 采用 不 同 的 进 制 来 处 理 , 例 如 ,在 C++ 语言 中 ,unsigned int 型 数据 的 长 度 可 以 作为 
数组 中 每 个 元 素 的 长 度 , 在 32 位 机 器 中 ,unsigned int 型 数据 的 长 度 为 32 位 ,这 样 就 可 以 使 
用 32 位 长 度 的 数据 作为 数组 元 素 的 程度 ,而 unsigned long long int 的 长 度 为 64 位 ,正好 用 
于 计算 过 程 中 的 中 间 数 据 的 处 理 。 


14.3.2 基于 32 位 进 制 的 大 数 运算 方法 


32 位 进 制 计算 的 基本 原理 和 日 常 使 用 的 十 进 制 的 计算 原理 类 似 , 十 进 制 的 计算 方法 为 
逢 十 进 一 ,每 个 元 素 的 取 值 范围 是 0 一 9 ,而 32 位 进 制 是 估 2” 进 一 。 每 个 单独 元 素 的 最 大 
值 为 0xFFFFFFFF ,每 个 元 素 的 取 值 范围 为 0x00000000—0xFFFFFFFF, 

使 用 32 位 进 制 来 处 理 公 钥 密 码 算法 可 以 有 效 地 降低 存储 空间 ,例如 , 若 处 理 的 RSA 算 
法 的 位 数 为 512 位 , 若 用 数组 进行 处 理 , 并 采用 32 位 进 制 数据 进行 处 理 ,那么 ,所 使 用 数组 
的 大 小 为 16 ,而 采用 二 进 制 来 处 理 则 需要 数组 的 大 小 512 ,而 采用 十 进 制 来 处 理 数组 的 大 小 
也 大 于 100。 

使 用 数组 和 32 位 进 制 来 处 理 大 数 的 过 程 并 不 复杂 ,其 基本 的 处 理 方法 如 图 14-1 所 示 。 

在 使 用 数组 表示 大 数 时 ,数组 索引 的 最 小 值 所 在 的 元 素 是 大 数 的 最 高 位 ,数组 索引 的 最 
大 值 所 在 的 元 素 是 大 数 的 最 低位 。 
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ALO] ALL A[2] A[3] 
0x456789AB | 0x3456789A | 0x23456789 | 0x12345678 
Blo] BU] B[2] B[3] 
[_0x12345678 | OxPF456789 | 0x3456789A | 0x456789AB | 

t-*/85 
[ο] (Π] c[21 c[3] 


图 14-1 大 数 运算 基本 原理 示意 图 


除 图 14-1 的 表示 方法 外 ,还 可 以 按照 数组 索引 的 高 位 表示 大 数 的 高 位 ,数组 索引 的 低 
位 表示 大 数 的 低位 ,处 理 过 程 正好 与 图 14-1 的 过 程 相反 ,但 在 计算 机 处 理 数据 的 时 候 比较 
方便 ,也 更 接近 于 计算 机 处 理 数据 的 方法 。 


14.3.2.1 加 法 运算 


在 进行 加 法 运算 时 ,如 果 两 个 操作 数 的 值 都 大 于 0, 那 么 将 两 个 大 数 从 低位 对 齐 , 即 从 
数组 索引 的 最 大 值 所 在 位 置 对 齐 , 然 后 从 大 数 的 低位 开始 加 起 ,例如 ,在 图 14-1 中 则 应 从 
A[3] 十 B[3] 开 始 , 若 A[3]+ BL 3] 0xFFFFFFFF 则 需要 进位 ,假设 进位 为 carry, 则 carry 
二 1, 否则 carry=0, 在 进行 其 他 位 置 运算 时 ,可 以 直接 将 carry 添加 到 具体 运算 过 程 中 , 例 
如 在 计算 AL2] 十 BL2] 时 ,就 可 以 直接 进行 AL2] 十 BL2] 十 carry 运算 ,再 判断 carry 的 值 ,并 
用 于 下 一 步 的 计算 。 在 实际 计算 中 也 可 以 将 carry 设 为 0, 在 具体 运算 中 ,每 一 步 的 运算 都 
加 上 carry。 图 14-1 中 加 法 的 具体 计算 过 程 如 下 : 

a) A[3]+ B[3] + carry = 0x12345678 十 0x456789AB + 0x0 = 0x579BE023 
<0xFFFFFFFF 
—C(3]=0x579BE023,carry=0 

(2) A[2]+B[2] + carry = 0x23456789 + 0x3456789A + 0x0 = 0x579BE023 
<0xFFFFFFFF 
—C[2]-—0x579BE023. carry —0 


(3) A[1] + BL[1] + carry = 0x3456789A + OxFF456789 + 0x0 = 0x1339BE023 
>0xFFFFFFFF 
—C[1]-0x339BE023.carry—1 

(4) A[0] + B[0] + carry = 0x456789AB + 0x12345678 + 0xl = 0x579BE024 


<0xPFPFFFFFF 
—C[0]-—0x579BE024.carry—0 
假设 进行 加 法 运算 的 数组 长 度 相同 ,那么 ,上 述 加 法 运算 过 程 用 伪 码 可 以 描述 为 


carry:- 0 

for 1 fromn-1to0 
result:=A[i]+ B[i]* carry 
C[i] := result$0x100000000 
carry:= result/0x100000000 
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endfor 


在 计算 过 程 中 用 result 来 存储 中 间 计 算 结果 ,result 的 数据 长 度 要 大 于 ALJA BEJK 
BE, flin, AGJA Bi] IK BE 2g 32 位 , 则 ALi] + BL JAY K BE PT ë HEE 32 位 ,此 时 ,用 64 位 的 
result 来 存储 中 间 结 果 , 则 可 以 保证 溢出 位 数据 不 会 丢失 。 


14.3.2.2 减法 运算 


大 数 减法 运算 时 减 数 需 大 于 被 减 数 , 若 被 减 数 大 于 减 数 , 则 需要 将 减 数 与 被 减 数 进行 交 
换 , 最 后 再 处 理 符号 即 可 ,这样 ,计算 的 结果 总 大 于 0。 

在 大 数 加 法 中 使 用 进位 (carry) 来 处 理 加 法 结果 大 于 ΟΧΕΕΕΕΕΕΕΕ 的 情况 ,而 在 大 数 
减法 中 则 采用 借 位 (borrow) 来 处 理 被 减 数 数组 元 素 大 于 减 数 数组 元 素 的 情况 。borrow 可 
以 初始 化 为 0, 图 14-1 中 减法 的 具体 计算 过 程 如 下 : 

(D AL3]<B[3]~C[3]=0x100000000+ A[3]— B[ 3]— borrow 

—0x100000000 +0x12345678 —0x456789 AB— 0x0 =0xCCCCCCCD 
borrow=1 
(2) AL2]<B[2]~C[2]=0x100000000+ A[2]— B[ 2]— borrow 
=0x100000000 +0x23456789 —0x3456789A — 0x1 =0xEEEEEEEE 
borrow=1 
(3) A[1]<B[1]—C[1]=0x100000000+ A[1]— BL1]— borrow 
=0x100000000+0x3456789 A — OxFF456789 —0x1 =0x35111110 
borrow=1 
(4) A[0]— B[0]--C[0]— A[0]— B[0]— borrow 
—0x456789AB—0x12345678 — 0x1 =0x33333332 


borrow=0 


假设 A 二 B, 那 么 ,上 述 减 法 运算 过 程 用 伪 码 可 以 描述 为 


borrow:- 0 
for 1 fromn-1 to 0 
if A[i]- B[i]- borrow =0 
C[i]:- A[i]- B[i]- borrow 
Lborrow:- 0 
else 
C[i] := 0x100000000* A[i]- B[i]- borrow 
endif 
endfor 


14.3.2.3 乘法 运算 


乘法 运算 是 以 相 乘 的 两 个 数 是 正 整 数 为 基础 ,大 数 的 乘法 运算 可 以 参考 “ 竖 式 运算 ”的 
方法 来 完成 ,上 述 两 个 数组 用 “ 竖 式 运算 ”方法 的 运算 过 程 如 下 : 
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ALo] A[1] A[2] A[3] 
BLO] B[1] B[2] B[3] 
ΑΓΟΊΒΓ3] ΑΓΙΊΒ[3] A[2]B[L3] A[3]B[3] 
A[o]B[2] AL1]B[2] A[2]B[2] AL3]B[2] 
ΑΓΟΊΒΓΙ] ΑΓΙΊΒΓΙ] A[2JB[1] A[L3JB[1] 
ΑΓΟΊΒΓΟ] ΑΓΙΊΒΓΟ] A[2]B[L0] A[3]B[0] 
C[0] C[1] C[2] C[3] C[4] C[5] C[6] C[7] 


十 十 十 1|* 


运算 结果 存储 在 数组 CC 中 ,数组 C 索引 的 位 置 为 数组 A 和 数组 B 的 索引 之 和 加 1, 即 
i 十 j 十 1 ,进位 部 分 则 加 到 Cit], C 数组 的 长 度 为 A 数组 长 度 和 B 数组 长 度 之 和 。C 数组 
的 最 高 位 用 于 人 处理 A[0]BL0] 的 进位 。 

假设 数组 A 的 长 度 为 p, 数 组 B 的 长 度 为 q, 那 么 ,以 数组 形式 处 理 的 大 数 乘法 的 伪 码 
如 下 : 


forifrmp-lto0 
for j frm q- 1 to 0 
result:=A[i] * BG] 
C[i+ j+ 1]* := result$0x100000000 
C[it j]* := result/0x100000000 
endfor 
endfor 


伪 码 中 的 result 用 于 处 理 中 间 结 果 , 若 数组 A 和 数组 B 中 的 元 素 为 32 位 长 度 ,那么 ， 
result 的 数据 长 度 为 64 位 ,其 日 的 是 防止 中 间 结 果 溢 出 ,32 位 数据 与 32 位 数据 相 乘 ,得 到 
的 中 间 结 果 的 最 大 位 数 为 64 位 。 在 计算 过 程 中 的 进位 项 直接 加 到 C[i 十 j] 中 ,而 不 再 计算 
进位 ,这 样 ,可 以 简化 进位 的 计算 。 


14.3.2.4 除法 运算 


除法 是 四 则 运算 中 最 复杂 的 运算 , 公 钥 加 密 算法 中 用 到 的 除法 其 结果 只 能 用 整数 表示 ， 
其 本 质 是 带 余 除 法 , 它 是 基于 以 下 基本 关系 。 
设 A,BE 滴 整 数 ,B>0, 于 是 有 唯一 确定 的 整数 X AR HES 
A=X-B+R, H 0<R<B 
Mp x ERR EA BRB 的 余数 。 
对 于 整数 A 和 B, 带 余 除 法 最 简单 的 实现 方法 是 从 被 除数 A 中 不 断 地 减 去 除数 已 , 直 
到 余数 R 小 于 除数 ,通过 上 述 计算 得 到 的 结果 如 下 : 
X =|A/B | 
R = A—lA/B B 
在 运算 过 程 中 所 用 到 的 除法 都 是 整数 除法 , 若 直接 使 用 减法 运算 来 实现 除法 运算 的 实 
现 方 法 是 一 种 效率 很 低 的 方法 ,在 实际 计算 过 程 中 可 以 首先 确定 X 的 范围 ,然后 通过 折 半 
的 方法 快速 获得 最 终 的 X。 这 种 计算 方法 与 “ 试 除 ?法 的 计算 原理 一 致 。 
假设 整数 A 的 长 度 为 p ,整数 B 的 长 度 为 gq, 并 有 p>d, 那 么 ,X 的 长 度 范围 在 如 一 0 到 
Zp 一 gq 十 1 之 间 ,其 具体 值 的 范围 是 长 度 为 p 一 g 的 最 小 值 和 长 度 为 p 一 g 十 1 的 最 大 值 之 间 。 
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使 用 十 进 制 的 计算 过 程 很 容易 就 理解 X 的 取 值 范围 ,假设 用 一 个 5 位 数 除 一 个 3 位 
数 ,可 能 得 到 的 最 大 值 是 99999/100 ,结果 正好 是 5 一 3 十 1 位 数 的 最 大 值 : 999 ,可 能 得 到 的 
最 小 值 是 10000/999 ,结果 正好 是 5 一 3 位 数 的 最 小 值 : 10。 

因此 ,在 * 试 除 ? 过 程 中 所 需要 尝试 的 范围 是 非常 有 限 ,在 确定 范围 后 再 进行 “ 试 除 ? 可 以 
有 效 提高 计算 速度 ,同时 将 除法 运算 转换 为 乘法 运算 。 

d X 为 除法 A/B 计算 结果 的 整数 部 分 ,R 为 A/B 的 余数 ,max 为 A/B 可 能 的 最 大 结 
果 ,min H A/B 可 能 的 最 小 结果 ,那么 除法 运算 的 伪 码 如 下 : 


while (true) 
X:= (max+ min) /2 
if ((A- BX X)< 0) 
max:=X 
continue 
elseif ( A- BX X)>B) 


min:=X 


R:=A-BX X 


在 伪 码 的 计算 过 程 中 使 用 X:=(A 十 B)/2, 其 中 涉及 的 除法 只 需要 将 (A 十 B) 右 移 一 位 
就 可 以 完成 ,因此 整个 计算 过 程 中 并 没有 用 到 实际 意义 上 的 除法 ,而 其 他 相关 运算 则 已 经 
解决 。 

示例 14-10 HIH 28972 +347. 

解 ” 由 算式 可 知 A—28972, B—347.p—5.q—3. Hl] max=999.min=10, i+ ΗΕ: 

=> X = (min + max)/2 = 504 => R= A—XXB 145916 
> R < 0 => max = X = 504 

=> X = (min + max)/2 = 257 => R = A— Xx B 60207 
> R < 0 => max = X = 257 

=> X = (min + max)/2 133 =>R=A—-XXB 17179 
> R < 0 => max = X = 133 

=> X = (min + max)/2 = 7] => R = A—XX B = 4335 
> R> B=> min = X = 71 

=> X = (min + max)/2 102 =>R=A-—-XXB 6422 
> R < 0 => max = X = 102 

=> X = (min + max)/2 = 86 => R = A—X XB 870 
>R<0 => max = X = 86 

=> X = (min + max)/2 = 78 => R = A — X X B = 1906 
> R> B => min = X = 78 

=> X = (min 十 max)/2 =82 => R = A— XX B = 518 

> R> B => min = X = 82 

=> X = (min 十 max)/2 =84 => R = A— XX B 176 
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>R<0 => max = X = 84 
=> X = (min+ max)/2 = 83 => R= A—XX B= 171 
=>0<R<B=>X=83R=171 
得 商 为 83 ,余数 为 171. 
在 除法 运算 过 程 中 不 仅 得 到 了 商 , 还 得 到 了 相应 的 余数 。 


14.4 RSA 公 钥 密码 算法 原理 


RSA 公 钥 密码 算法 是 一 种 经 典 的 公 钥 算法 ,RSA 算法 被 广泛 地 应 用 于 各 种 电子 商务 
中 。RSA 是 1977 年 由 在 麻 省 理工 学 院 工作 的 罗 纳 德 。 李 维 斯 特 (Ron Rivest) 、 阿 迪 。 萨 葛 
尔 (Adi Shamir) 和 伦 纳 德 。 阿 德 曼 (Leonard Adleman) 一 起 提出 的 ,以 这 三 位 科学 家 名 字 的 
开头 来 命名 该 算法 。 

RSA 算法 的 可 靠 性 是 基于 大 整数 因 式 分 解 的 难度 , 即 大 整数 的 分 解 越 困 难 , 那 么 ,RSA 
算法 就 越 安 全 。 一 旦 有 人 找到 大 整数 因 式 分 解 的 算法 的 话 ,RSA 算法 的 安全 性 基础 就 立刻 
瓦解 。 到 目前 为 止 ,只 要 RSA 算法 使 用 的 密 铀 有 足够 的 长 度 , 用 RSA 加 密 的 信息 是 不 能 够 
被 破解 的 。 

在 RSA 加 密 算法 中 ,明文 以 分 组 为 单位 进行 加 密 。 假 设 p.q 为 素数 ,并 有 n= pa E 
么 ,对 明文 分 组 M 和 密 文 分 组 C ,其 加 密 和 解密 的 过 程 如 下 : 

C = M'mod n 
M = C'mod n (14-9) 
HP: Csm HIME RHAH Cd ,z) 为 解密 密 钥 即 私 钥 。 

公 钥 和 私 钥 的 生成 过 程 可 以 用 以 下 方式 描述 ， 

A) 选择 两 个 素数 p 和 g。 

* p #lq 最 好 以 随机 方式 进行 选择 ,同时 ,p 和 g 的 长 度 最 好 相同 。 素 性 测试 可 以 采用 
已 知 的 素性 测试 方法 进行 测试 。 

(2) 计算 n— pq. 

° n 用 于 公 和 钥 和 私 钥 的 模 运 算 ,其 单位 通常 用 bit 表示 ,n 的 长 度 就 是 密 钥 长 度 。 

(3) 根据 欧 拉 函数 计算 : eG0 — 9 pp) —(—D(G-— D. 

(4) 选择 一 个 整数 e, 满 足 : l< < gO). H. ged(e.g(n)) —1.Hll e 5 pH. 

* edé RSA 算法 中 的 公 钥 。 

° 最 好 选择 具有 较 小 汉 明 距离 ( 非 零 元 素 的 个 数 ) 的 。, 这 样 可 以 有 效 提高 加 密 的 速度 ， 
例如 选择 2 十 1, 此 时 。 的 汉 明 距离 为 1, 同时 ,不 要 选择 太 小 的 数 ,选择 太 小 的 数 会 
降低 算法 的 安全 性 。 

(5) 计算 d.d! —e(Gmod g(n)),d 可 以 通过 计算 e(mod y(n)) 的 乘法 逆 元 来 获得 。 

° 需要 解决 的 计算 为 : de =1 (mod g(n)). 

。 常用 的 计算 方法 为 扩展 的 欧 几 里 得 算法 。 

。 计算 得 到 的 d H RSA 算法 的 私 钥 。 

通过 计算 得 到 的 (e,n) 为 公 钥 ,可 以 公开 发 布 , 计 算得 到 的 (d,n) 为 私 钥 , 则 需要 秘密 保 
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存 。 同 时 p,q 和 yp(z) 也 需要 秘密 保存 ,通过 p.q 或 (2) 可 以 直接 计算 得 到 私 钥 。 

RSA 算法 的 加 密 和 解密 过 程 可 以 通过 Euler 定理 的 推论 来 证 明 。 

上 述 e Fld 的 选择 满足 

d=e'mod (g(n)) 

ed = |mod (g(n)) 
因此 ,ed 可 以 用 Ap(z) 十 1 表示 ,这 样 我 们 可 以 得 到 

Misco 一 MVH = M mod n 
即 得 
M” = M mod n 
这 样 就 有 
M = C* mod n = (M‘)4mod n = M” mod n = M mod n 

示例 14-11 iE p—47.q4—23.M—65 in Hh JI A ΗΔΗ 1. 

8 (D n—pq—47X23—1081, 

(2) on) =¢(p— —gGD)09() = (p— 1) (q— 1) —46X22—1012, 

(3) 选择 e, 有 1<e<<1012 ,并 与 1012 BA, HEH e 王 28 十 1 一 257,257 与 1012 HF, 

(4) 计算 e(mod 9p(z)) 的 乘法 逆 元 ,得 到 d=949, 

(5) ΜΠΕ — C— M' mod n=65*" mod 1081=871. 

(6) 解密 M— C^ mod n—871?? mod 1081—65, 

在 RSA 算法 的 加 密 过 程 中 要 求 被 加 密 的 明文 的 长 度 要 小 于 n, Er 88 JI 26 89 HH SC K E 
大 于 nn, 则 可 以 将 明文 分 割 成 若干 长 度 小 于 的 分 组 。 同 时 ,在 加 密 过 程 中 需要 将 要 加 密 的 
字符 转换 成 相应 的 编码 ,如 ASCII 码 或 UNICODE 编码 ,并 将 转换 后 的 数字 组 成 一 个 数字 ， 
然后 再 进行 加 密 。 


14.5 RSA 公 钥 加 密 算法 实现 


RSA 加 密 算 法 的 核心 内 容 包括 : 大 数 运算 、 素 性 检测 和 RSA 的 加 密 与 解密 三 个 主要 
部 分 组 成 ,同时 通过 利用 大 数 的 基本 运算 完成 乘法 道 元 、 寡 模 等 运算 。RSA 算法 的 实现 以 
32 位 进 制 为 基础 来 实现 。 


14.5.1 大 数 运算 的 实现 


大 数 运算 的 实现 是 RSA 算法 实现 的 基础 ,大 数 运算 的 实现 包括 比较 运算 符 的 实现 、 基 
本 运算 的 实现 , 模 运算 的 实现 、 军 模 运算 的 实现 和 乘法 逆 元 计算 的 实现 等 几 部 分 组 成 ,在 程 
序 中 通过 Hugelnt 类 来 实现 。HugeInt 类 的 基本 组 成 见 图 14-2。 

Hugelnt 类 的 声明 见 程序 清单 14-2。 

程序 清单 14-2 

Ol typedef unsigned int word32; 

02 typedef unsigned long long int word64; 

03 const wordé4 w32= 0100000000; 
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RSA 算法 
HugeInt 
- flag : 
2w : vector<word32> 


Hugelnt () 

genHugelnt (int length) 

genSmallInt () 

getLength (Hugelnt hugelnt) 

&operator«« (ostream& output, const Hugelnt & hugelnt) 
operator- (const HugeInt & hugelntl, const HugeInt & hugelInt2) 
operator- (const Hugelnt & hugelntl, const HugeInt & hugelnt2) 
operator* (const Hugelnt & hugelntl, const HugeInt & hugeInt2) 
operator/ (const Hugelnt & hugelntl, const Ηπσε[πί & hugelnt2) 


avg (const Hugelnt & hugelntl, const HugelInt & hugelnt2) 
shiftRightOne (const HugeInt & hugelnt) 


invMod (HugeInt A, HugeInt B) 

gcd (const Hugelnt N, const Hugelnt K) 

setFlag (int b) 

operator> (const Hugelnt & hugelntl, const HugeInt & hugelnt2) 


operator« (const HugeInt & hugelntl, const HugeInt & hugeInt2) 


十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 十 


operator!= (const Hugelnt & hugelntl, const Hugelnt & hugelnt2) 


expMod (const HugeInt & x, const HugeInt & y, const HugeInt & n) 


: void 

: void 

:int 

: friend ostream 
: friend Hugelnt 
: friend Hugelnt 
: friend Hugelnt 
: friend HugelInt 


operator% (const Hugelnt & hugelntl, const Hugelnt & hugelnt2) : friend Hugelnt 


: friend Hugelnt 
: friend Hugelnt 
friend HugelInt 
: friend ExtEuc 

: friend Hugelnt 
: void 

: friend bool 


operator>= (const Hugelnt & hugelntl, const HugeInt & hugelnt2) : friend bool 


: friend bool 


operator<= (const Hugelnt & hugelntl, const Hugelnt & hugelInt2) : friend bool 
operator— (const Hugelnt & hugelntl, const HugeInt & hugelInt2) : friend bool 


: friend bool 


图 14-2 Hugelnt 类 的 基本 组 成 


public: 
HugeInt () ; 
void genHugeInt (int length) ; 
void gensSmallInt () ; 
void clearHugeInt () ; 
int getLength (HugeInt); 
friend ostream soperator<< (ostream&,const HugeInt&) ; 
friend HugeInt operator (const HugeInt&,const HugeInt&); 
friend HugeInt operator- (const HugeInt&,const HugeInt&); 
friend HugeInt operator * (const HugeInt&,const HugeInt&); 
friend HugeInt operator/ (const HugeInt&,const HugeInt&); 
friend HugeInt operator$ (const HugeInt&,const HugeInt&); 
friend HugeInt shiftRightOne (const HugeInt&); 


friend HugeInt expMod (const HugeInt&,const HugeInt&,const HugeInt&); 


friend ExtEuc inod (HugeInt, HugeInt) ; 

friend HugeInt god(const HugeInt,const HugeInt); 

void setFlag (int); 

friend bool operator» (const HugeInt&,const HugeInt&); 
friend bool operator>= (const HugeInt&,const HugeInt&); 
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26 friend bool operator< (const HugeInt&,const HugeInt&); 
21 friend bool cperator< = (const HugeInt&,const HugeInt&); 
28 friend bool operator- — (const HugeInt&,const HugeInt&); 
29 friend bool operator== (const HugeInt&,const HugeInt&); 
30 friend bool operator!= (const HugeInt&,const HugeInt&); 
3l private: 

2 int flag; 

3 vector< word32» v; 

3) 

35 struct ExtEuc 

36 { 

37 HugeInt d; 

38 HugeInt s; 

39 HugeInt t; 

40 J 


类 中 的 32 位 数据 使 用 word32 来 处 理 ,64 位 数据 使 用 word64 来 处 理 , 而 w32 则 是 用 
来 处 理 进位 和 借 位 运算 。 变 量 v(vector) 用 来 存储 大 数 , 采 用 向 量 来 存储 ,在 动态 处 理 大 数 
运算 时 更 为 方便 ,flag 则 是 用 来 处 理 大 数 的 符号 。 结 构 体 ExtEuc 则 是 在 进行 模 逆 运算 时 使 
用 的 结构 体 。 

类 Hugelnt 中 各 成 员 函 数 的 作用 如 下 : 

* HugelInt() 一 一 构造 函数 ,用 于 初始 化 flag. 

* genHugelInt() 一 一 用 于 生成 大 数 , 函 数 的 参数 为 所 需 大 数 的 长 度 。 
genSmallInt() 一 一 用 于 生成 小 数 ,但 生成 的 数 仍 使 用 向 量 表示 ,生成 的 数 用 于 检验 
大 数 生成 中 所 使 用 的 各 算法 ,该 函数 属于 辅助 函数 ,在 最 终 算法 实现 中 可 以 省 上 略 。 
。 clearHugeInt() 一 一 用 于 清空 大 数 中 的 所 有 元 素 。 
getLength() 一 一 用 于 获取 大 数 向 量 的 大 小 ,函数 返回 大 数 向 量 的 大 小 。 

。 setFlag() 一 一 用 于 处 理 flag, 即 大 数 的 正 负 。 

。 avg() 一 一 用 于 计算 两 个 大 数 的 平均 值 。 

。 shiftRightOne() 用 于 大 数 右 移 一 位 。 

* expModO — H T KGa F 。 

* invMod() 一 一 用 于 计算 模 n 的 乘法 逆 元 。 

。 gcd() 一 一 欧 几 里 得 函数 。 

除 上 述 函 数 之 外 ,其 余 函 数 分 为 两 类 : 一 类 是 常用 运算 符 的 重 载 , 另 一 类 是 常用 逻辑 运 


14.5.1.Ι 初始 化 


初始 化 共有 三 部 分 组 成 : 构造 函数 、 大 数 生成 和 以 大 数 形式 表示 的 小 数 生成 。 构 造 函 
数 主要 初始 化 大 数 的 正 负 符号 ,其 完整 代码 见 程序 清单 14-3。 
程序 清单 14-3 


Οἱ HugeInt: :HugeInt () 
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吧 { 
03 flag-1; 
0 } 


构造 函数 的 作用 是 将 flag 设置 为 1, 即 表示 相应 大 数 为 正 数 。 在 运算 过 程 中 的 flag 是 
通过 函数 setflag 来 设置 正 负数 的 标记 ,函数 代码 见 程序 清单 14-4。 


程序 清单 14-4 

0l void HugeInt::setFlag(int b) 

a2 { 

03 flag=b; 

0 } 

大 数 生成 通过 函数 genHugelnt(int length) 来 实现 ,函数 具体 代码 见 程序 清单 14-5. 
程序 清单 14-5 

0l void HugeInt::genHugeInt (int length) 

0 ( 

03 v.clear(); 

04 srand( (unsigned) time (0) ) ; 

05 inti; 

06 for (i= 0;i« length;i+ + ) 

07 t 

08 v.push back (rand()* 1); 

09 Sleep (100) ; 

10 v(i]l7 (and()* 1)«« 16; 


大 数 存储 于 向 量 , 向 量 中 的 每 个 元 素 为 32 位 大 小 ,具体 生成 多 少 位 的 大 数 通过 函数 的 
参数 来 确定 。 例 如 ,要 生成 512 位 的 大 数 , 则 参数 的 大 小 为 16,16X32 王 512, 这 样 , 生 成 的 
大 数 正好 为 512 位 。 同 样 ,要 生成 1024 位 的 大 数 , 则 参数 的 大 小 为 32。 

大 数 生成 通过 随机 函数 来 生成 ,主要 方便 用 于 大 数 生成 ,在 大 数 生成 过 程 中 每 次 生成 
16 位 伪 随 机 数 ,然后 左 移 16 位 ,再 与 下 一 次 生成 的 16 位 伪 随 机 数 进行 或 运算 ,这 样 ,就 可 
以 获得 32 位 的 大 数 元 素 。 重 复 执行 所 设 定 的 次 数 就 可 以 获得 所 需 长 度 的 大 数 。 

在 数据 初始 化 中 ,还 有 一 个 函数 genSmallInt() ,该 函数 的 作用 是 生成 大 数 形式 的 小 数 ， 
函数 具体 代码 见 程 序 清单 14-6。 


程序 清单 14-6 
0l void HugeInt: :genSmallInt () 
2 { 
03 v.clear(); 
04 intn; 
05 cout«« "fp A NIC: "; 


06 cim»n; 
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07 v.push back(n); 

08 ] 

函数 genSmallInt() 的 功能 比较 简单 ,其 作用 是 通过 键盘 获得 输入 ,并 将 获得 的 输入 加 
入 大 数 的 向 量 中 ,该 函数 是 用 于 检验 算法 的 正确 性 。 

genSmallInt() 函 数 中 小 数 的 生成 也 可 以 通过 函数 的 参数 进行 传递 ,只 需要 将 函数 的 原 
型 改 为 : void genSmallInt(int n) ,具体 实现 的 方法 与 程序 清单 14-6 类 似 。 


14.5.1.2 比较 运算 符 重 载 的 实现 


大 数 的 比较 运算 符 主要 作用 是 辅助 各 类 大 数 运算 的 实现 , 共 包 括 6 种 常用 的 比较 运算 
符 , 实 现 的 方法 是 重 载 。 

“二 ”运算 符 重 载 的 实现 

大 于 运算 符 “ 二 ” 重 载 函 数 的 参数 有 两 个 ,参数 类 型 为 HugeInt,“ 二 ” 重 载 函数 的 具体 代 
码 见 程序 清单 14-7。 


程序 清单 14-7 


Ol bool operator» (const HugeInt &hugeIntl,const HugeInt &hugeInt2) 


e { 

03 if(hugeIntl.v.size()» hugeInt2.v.size()) 
04 t 

05 return true; 

06 ) 

07 if(hugeInt2.v.size ()> hugeIntl.v.size()) 
08 t 

09 return false; 

10 } 

1 inti; 

12 for (i= hugeIntl.v.size()- 1;i>=0;i-- ) 
13 { 

14 if(hugeIntl.v[i]» hugeInt2.v[i]) 

15 { 

16 retum true; 

17 } 

18 else if (hugeInt2.v[i]> hugeInt1.v[i]) 
19 { 

20 retum false; 

21 } 

22 } 

23 retum false; 

24 ] 


在 大 数 运算 类 的 实现 中 采用 了 向 量 索引 的 高 位 代表 大 数 的 高 位 ,向 量 索 引 的 低位 代表 
大 数 的 低位 ,使 得 运算 过 程 和 普通 的 运算 过 程 更 为 接近 。 
大 于 运算 符 的 重 载 首先 比较 两 个 大 数 向 量 的 长 得, 根据 向 量 的 长 短 来 确定 大 数 的 大 小 。 
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在 大 数 向 量 长 度 相同 的 情况 下 ,通过 从 高 位 到 低位 逐个 元 素 比较 的 方法 来 确定 大 数 的 大 小 ， 
若 两 个 大 数 元 素 大 小 相等 则 继续 比较 , 若 元 素 大 小 不 同 则 根据 元 素 大 小 情况 返回 对 应 的 结 
果 , 若 各 个 元 素 的 大 小 都 相同 则 返回 false. 
“二 = ”运算 符 重 载 的 实现 
大 于 等 于 运算 符 “ 之 一" 重 载 函 数 的 参数 与 大 于 重 载 函 数 的 参数 相同 ,实现 方法 与 大 于 
运算 符 重 载 的 实现 类 似 , 大 于 等 于 运算 符 重 载 的 具体 代码 见 程序 清单 14-8。 
程序 清单 14-8 


0l bool qperator>= (const HugeInt &hugeIntl,const HugeInt shugeInt2) 


et 


23 
24 } 


if(hugeIntl.v.size()» hugeInt2.v.size()) 
t 

return true; 
) 
if(hugeInt2.v.size()» hugeIntl.v.size()) 
{ 

return false; 
) 
inti; 
for (i= hugeInt1.v.size()- 1;i» 2 0;i- - ) 
t 

if(hugeIntl.v[i]» hugeInt2.v[i]) 

{ 

retum true; 

} 

else if (tugeInt2.v[i]> hugeInt1.v[i]) 

{ 

retum false; 

} 
} 
return true; 


大 于 等 于 运算 符 重 载 的 实现 方法 与 大 于 运算 符 重 载 的 实现 方法 的 不 同 之 处 在 于 当 两 个 
大 数 的 各 个 元 素 完 全 相同 时 返回 true, 其 他 各 部 分 则 完全 相同 ,元 素 比 较 的 方法 也 是 从 高 位 
开始 比较 到 低位 。 

“二 "运算 符 重 载 的 实现 

小 于 运算 符 “” 重 载 的 实现 方法 正好 与 大 于 运算 符 的 实现 方法 相反 ,小 于 运算 符 重 载 
的 函数 参数 也 是 HugeInt 型 的 两 个 参数 ,具体 实现 代码 见 程 序 清单 14-9。 

程序 清单 14-9 


OL bool operator< (const HugeInt &hugeIntl,const HugeInt &hugeInt2) 


吧 { 
03 


if(hugeIntl.v.size ()« hugeInt2.v.size()) 


δ 


} 


{ 
retum true; 
} 
if (hugeInt2.v.size ()< hugeInt1.v.size()) 
{ 
return false; 
} 
inti; 
for (i= hugeIntl.v.size()- 1;i>=0;i-- ) 
1 
if(hugerntl.v[i]« hugeTnt2.v[i]) 
t 
retum true; 
} 
else if (hugeInt2.v [i]« hugeInt1.v[i]) 
{ 
retum false; 


retum false; 
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小 于 运算 符 重 载 同样 也 是 从 大 数 向 量 的 长 度 开 始 ,在 大 数 向 量 长 度 相同 的 情况 下 再 比 
较 向 量 中 元 素 的 大 小 。 在 小 于 运算 符 重 载 的 实现 过 程 中 。 需 要 注意 的 是 当 两 个 大 数 的 各 个 


元 素 都 相同 时 ,返回 值 是 false, 这 与 大 于 运算 符 重 载 时 类 似 。 
三 ”运算 符 重 载 的 实现 


s 


小 于 等 于 运算 符 “ 志 = 一" 重 载 与 小 于 运算 符 重 载 类 似 ,两 数 参数 也 是 两 个 HugeInt 型 参 
数 ,具体 实现 代码 见 程序 清单 14-10。 


程序 清单 14-10 


0l bool qperator<= (const HugeInt &hugeIntl,const HugeInt &hugeInt2) 


a { 


if (hugeInt1.v.size()< hugeInt2.v.size()) 
t 

return true; 
) 
if(hugeInt2.v.size()« hugeInt1.v.size()) 
t 

return false; 
} 
inti; 
for (i= hugeTnt1.v.size()- 1;i>=0;i-- ) 
{ 

if(hugemntl.v[i]«hugemnt2.v[i]) 

1 
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} 


retum true; 
} 
else if (ugeInt2.v[i]< hugeIntl.v[i]) 
{ 
retum false; 
} 


在 小 于 等 于 运算 符 重 载 中 ,首先 根据 大 数 向 量 的 长 度 来 确定 大 小 ,然后 根据 大 数 向 量 中 
的 各 个 元 素 的 大 小 来 确定 大 数 的 大 小 , 当 大 数 向 量 中 的 各 个 元 素 都 相等 时 ,返回 true, 

“一 =" 运 算 符 重 载 的 实现 

“一 一" 运算 符 重 载 则 要 求 大 数 向 量 的 长 度 相 等 , 且 大 数 向 量 中 的 各 个 元 素 的 大 小 相等 ， 
“二 三 "运算 符 重 载 的 具体 代码 见 程序 清单 14-11. 


程序 清单 14-11 


Ol bool qperator== (const HugeInt &hugeIntl,const HugeInt &hugeInt2) 


E 


if (hugeIntl.v.size()!- hugeInt2.v.size()) 
t 
return false; 
) 
inti; 
for (i= hugeIntl.v.size()- 1;i> -0;i- - ) 
{ 
if (hugeInt1.v[i] != hugeInt2.v [i]) 
{ 
retum false; 
} 
) 
return true; 


二 "运算 符 重 载 的 实现 方法 比较 简单 , 若 大 数 向 量 的 长 度 不 同 则 返回 false, 若 大 数 
元 素 的 值 不 同 则 返回 false, 否 则 返回 true. 


| anes 


三 ”运算 符 重 载 主 要 用 于 判断 两 个 大 数 不 相 等 ,与 “三 三 ”运算 符 重 载 的 运算 过 程 正 


ρας. 若 向 量 的 长 度 不 相等 则 返回 true, 若 大 数 向 量 对 应 元 素 的 值 不 相等 则 返回 true, A 


则 返回 false。 
“1 王 ” 运 算 符 重 载 函数 的 具体 代码 见 程序 清单 14-12。 
程序 清单 14-12 


Οἱ bool gperator!- (const HugeInt &hugeIntl,const HugeInt &hugeInt2) 


o { 


} 


if(hugeIntl.v.size() != hugeInt2.v.size()) 
t 

Teturn true; 
} 
int i; 
for (i= hugemntl.v.size()- 1;i>=0;i-- ) 
{ 

if(hugeIntl.v[i]!- hugeInt2.v[i]) 

{ 

retum true; 


retum false; 


14.5.1.3 基本 运算 符 重 载 的 实现 


基本 运算 符 重 载 包括 十、 一 、* 、/、%” 共 5 种 ,这 5 种 基本 运算 为 后 续 的 大 数 运算 的 实 
现 提供 基础 。 这 5 种 基本 运算 的 实现 原理 见 图 14-3。 
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ΟΠ] A[3] AL2] ALL) ALO] 
E p 0x12345678 | OxFF456789 | 0x3456789A | 0x456789AB 
cLi) B[3] B[2] B[1] BLO] 
C? — e oxeesersoaB | 0x3456789A | 0x23456789 | 0x12345678 
t-*/93 
C[n] c[3) c[2] ci] cto] 
2 ------- ? ? ? ? 


图 14-3 基本 运算 实现 原理 


在 基本 运算 的 实现 中 ,大 数 向 量 索 引 的 高 位 就 代表 大 数 的 高 位 ,大 数 向 量 索 引 的 低位 就 
代表 大 数 的 低位 ,这 种 实现 方法 能 很 方便 地 改变 大 数 的 位 数 , 同 时 还 很 方便 的 清除 高 位 的 无 
BO" BA o 

加 法 运算 的 实现 

“十 ”法 运算 符 重 载 的 参数 是 两 个 HugeInt 型 参数 ,函数 的 返回 值 类 型 也 是 Hugelnt 
型 ,函数 具体 代码 见 程序 清单 14-13。 

程序 清单 14-13 


Ol HugeInt operator+ (const HugeInt shugeInt1,const HugeInt &hugeInt2) 


02 
03 


{ 


HugeInt out; 

word64 temp; 

word32 carry- 0; 
word i; 

if (hugeInt > hugeInt2) 
t 


y A 
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for (i= 0;i< hugeInt2.v.size();i++) 
{ 
temp- (wordéd)hugeIntl.v[i]t (wondé4)hugeInt2.v[i]+ carry; 
if (temp> ΟΚΕΕΕΕΕΕΕΕ) 
{ 
carry= 1; 


carry- 0; 
} 
out.v.push back ( (word32) temp) ; 
} 
for (i= hugeInt2.v.size() ;i< hugeIntl.v.size();i+ +) 
{ 
temp- (wordé4)hugeIntl.v[i]* carry; 
if (temp> ΟΧΕΕΕΕΕΕΕΕ) 
{ 
carry= 1; 


carry- 0; 
} 
out.v.push back ( (word32) temp) ; 


for (i= 0;i< hugeInt1.v.size();it+) 
{ 
temp- (wordé4)hugeIntl.v[i]* (word64)hugeInt2.v[i]* carry; 
if (temp> OxFFEFFFEF) 
{ 
carry= 1; 


carry= 0; 
H 
out.v.push back ((word32) temp) ; 
} 
for (i= hugeInt1 .v.size () ;i< hugeInt2.v.size();i++) 
{ 
temp= (wordé4)hugeInt2.v[i]+ carry; 
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54 if(temp» ΟΚΕΕΕΕΕΕΕΕ) 
55 { 

56 carry= 1; 

51 } 

58 else 

59 { 

60 carry= 0; 

ει } 

e out.v.push back((word32)temp); 
e3 ) 

64 } 

65 if (carry==1) 

66 { 

67 out.v.push_back (carry) ; 

68 ) 

69 retum out; 

7 } 


“十 ”运算 的 实现 在 总 体 上 分 成 三 部 分 ,第 7 行 到 第 35 行为 第 一 部 分 ,这 部 分 是 处 理 第 
1 个 参数 大 于 第 2 个 参数 的 情况 ,第 36 行 到 第 64 行为 第 二 部 分 ,这 部 分 是 处 理 第 2 个 参数 
大 于 第 1 个 参数 的 情况 ,第 65 行 到 第 68 行 处 理 最 后 的 进位 。 

在 大 数 运算 过 程 中 ,两 个 32 位 的 数 相 加 ,其 结果 可 能 大 于 32 位 ,因此 中 间 结 果 需 存放 
在 大 于 32 位 的 数据 中 ,在 程序 中 ,是 将 中 间 结 果 存 放 在 64 位 数据 temp 中 ,将 64 位 的 temp 
与 0xFFFFFFFF 进行 比较 ,车 大 于 ΟΧΕΕΕΕΕΕΕΕ 则 取 进 位 carry 为 1, 低 32 位 则 为 加 法 运 
算 结果 ,加 入 大 数 向 量 。 同 时 ,在 加 法 运算 过 程 中 ,还 需要 将 32 位 的 向 量 数据 强制 转换 为 
64 位 数据 ,这 样 ,可 以 防止 计算 过 程 中 的 精度 损失 。 

前 两 部 分 的 计算 都 是 以 较 小 的 数据 的 向 量 长 度 为 界 进行 计算 ,向 量 长 度 较 长 的 大 数 的 
余下 部 分 则 与 进位 carry 进行 加 法 运算 ,最 后 , 若 进位 carry 不 为 0, 则 在 大 数 向 量 的 尾部 加 
上 最 后 一 个 向 量 元 素 。 

减法 运算 的 实现 

“一 ”运算 符 重 载 的 参数 也 是 两 个 HugeInt 型 参数 ,函数 的 返回 值 类 型 也 是 HugeInt 
型 ,函数 具体 代码 见 程序 清单 14-14。 


程序 清单 14-14 
Ol HugeInt operator- (const HugeInt &hugeIntl,const HugeInt shugeInt2) 
a { 
03 HugeInt out; 
04 word32 borrow- 0; 
05 wordé4 temp; 
06 word i; 
07 HugeInt zero; 
08 zero.v.push back(0); 


09 if(hugeIntl- = hugeInt2) 
10 { 
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11 return zero; 

12 } 

n if (hugeIntl» hugeInt2) 

14 { 

15 out.setFlag (1); 

16 for (i= 0;i« hugeInt2.v.size();it-*) 

17 t 

18 if(hugeIntl.v[i]« (hugeInt2.v[i]* borrow)) 

19 { 

20 tenp- w32+ (worded)hugemtl.v[i]- (word64)hugeInt2.v[i]- borrow; 
21 borrow- 1; 

2 out..v.push_back ( (word32) temp) ; 

23 } 

24 else 

25 { 

26 temp- (wordé4) hugeInt1 .v[i]- hugeInt2.v [i]- borrow; 
21 borrow- 0; 

28 out..v.push_back ( (word32) temp) ; 

29 } 

30 } 

a for (i= hugeTnt2.v.size () ;i< hugeTnt1.v.size();i*-) 
2 { 

3 if (nugeInt1.v[i]< borrow) 

34 t 

35 temp- w32* (wordé4) hugeIntl.v[i]- borrow; 
36 borrow- 1; 

37 out..v.push_back ( (word32) temp) ; 

38 } 

39 else 

40 { 

41 temp- (wordé4) hugeInt1.v[i]- borrow; 

42 borrow- 0; 

43 out.v.push back((word32)temp) ; 

44 } 

45 } 

46 } 

47 else 

48 { 

49 out.setFlag(- 1); 

50 for (i= 0;i< hugeIntl.v.size() i++) 

51 £ 

52 if(hugeInt2.v[i]« (hugeIntl.v[i]* borrow) ) 

53 { 

54 teap- w32* (worde4)hugemnt2.v[i]- (worde4)hugerntl .v[i]- borrow; 
55 borrow- 1; 
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56 out.v.push back( (word32)temp); 
57 } 

58 else 

59 { 

60 temp= hugeInt2.v[i]- hugeTnt1.v [i ]- borrow; 
6L borrow- 0; 

62 out.v.push back((word32)temp) ; 
63 } 

64 } 

65 for (i= hugeInt1.v.size () ;i< hugeInt2.v.size();i++) 
66 1 

67 if(hugeInt2.v[i]« borrow) 

68 { 

68 temp- w32+ hugeInt2.v [i]- borrow; 
70 borrow- 1; 

πι out.v.push back((word32) temp) ; 
了 2 } 

73 else 

74 { 

5 temp= hugeInt2.v[i]- borrow; 

76 borrow- 0; 

T out.v.push back((word32)temp) ; 
78 ) 

79 ) 

80 ) 

81 while (true) 

82 t 

83 if(out.v[out.v.size()- 1] != 0) 

84 { 

85 break; 

86 } 

87 else 

88 { 

89 out .v.erase (out .v.end()- 1); 

90 } 

9ι } 

92 return out; 

0 i 


大 数 减法 分 为 三 种 情况 ,第 1 种 情况 是 两 个 大 数 相等 ,此 时 返回 0, 但 必须 注意 返回 的 
“0? 是 以 大 数 形式 表示 的 “0”, 即 大 数 向 量 只 有 一 个 元 素 , 这 个 元 素 的 值 为 0。 第 2 种 情况 是 
函数 的 第 1 个 参数 的 值 大 于 第 2 个 参数 的 值 , 此 时 只 需 按 照 正 常 减法 进行 运算 ,对 大 数 向 量 
从 低位 开始 逐个 运算 。 第 3 种 情况 是 函数 的 第 2 个 参数 大 于 第 1 个 参数 ,此 时 的 运算 过 程 
是 用 第 2 个 参数 的 值 减 去 第 1 个 参数 的 值 ,同时 设置 flag 为 一 1, 表 示 计 算 的 结果 为 负 值 。 

在 大 数 减法 运算 过 程 中 需要 用 到 借 位 borrow 来 处 理 减 数 大 于 被 减 数 的 问题 ,此 时 就 
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需要 使 用 超过 32 位 的 w64 来 处 理 减 法 ,因此 减法 的 中 间 结 果 temp 也 使 用 64 位 的 数据 来 
处 理 。 

在 加 法 运算 过 程 中 还 可 能 产生 高 位 数据 为 “0” 的 情况 ,此 时 就 需要 将 大 数 向 量 的 “0” 元 
素 清除 ,否则 ,会 影响 比较 运算 符 的 运算 ,在 大 数 比较 运算 时 通常 是 先 比 较 大 数 向 量 的 长 度 ， 
然后 再 比较 相应 的 值 。 因 此 ,在 减法 运算 结束 时 需 检 查 高 位 是 否 为 "0”, 若 高 位 为 "0? 则 删除 
该 向 量 元 素 , 若 高 位 不 为 0, 则 结束 清除 高 位 为 “0 的 任务 ,具体 代码 见 程序 清单 的 第 81 fT 
到 91 行 。 

乘法 运算 的 实现 

“* ”运算 符 重 载 是 实现 两 个 大 数 的 乘法 ,函数 的 两 个 参数 也 是 HugeInt 型 ,函数 的 返 
回 类 型 也 是 HugeInt,* x ”运算 符 重 载 实现 的 具体 代码 见 程 序 清单 14-15 。 


程序 清单 14-15 
O1 HugeInt operator* (const HugeInt shugeInt1,const HugeInt shugeInt2) 
0 { 
03 HugeInt out; 
04 wordé4 temp; 
05 word32 carry= 0; 
06 word32 i,j; 
07 for (i= 0;i< hugeIntl.v.size();i*4) 
08 t 
09 for (j= 0;j« hugeInt2.v.size();j++) 
10 { 
u temp- (wordé4)hugeIntl.v[i] * (worde4)hugeInt2.v[j]* carry; 
12 carry- temp/w32; 
13 temp- tenpsOxFEFFEFEF; 
14 if((i+ j)> (out.v.size()- 1) | | out.v.size()- — 0) 
15 { 
16 out.v.push back((word32) temp) ; 
17 } 
18 else 
19 { 
20 if ( ( (word64) temp* (word64) out .v [i+ j])> OxFFFEFFEF) 
21 { 
22 carryt+=1; 
23 out.v[i* j]- (word32) (tempt out.v[i* j]); 
24 } 
25 else 
26 { 
21 out.v[i* j]- (word32) (tempt out.v[i+ 11}; 
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33 out.v.push back (carry); 
34 carry- 0; 

35 } 

36 } 

3 return out, 

3 } 


在 大 数 乘法 运算 过 程 中 同样 需要 注意 进位 carry 的 问题 ,因此 乘法 中 间 运 算 的 结果 同 
样 需要 64 位 的 变量 来 存储 。 

在 大 数 乘法 运算 过 程 中 还 需要 注意 乘法 运算 的 结果 所 存放 的 位 置 是 否 已 经 有 数据 , 若 
有 数据 则 和 原来 的 数据 进行 加 法 运算 ,再 存 和 对 应 的 位 置 , 并 正确 处 理 进 位 问题 。 

例如 ,在 图 14-4 中 ,向 量 A 和 向 量 B 进行 乘法 运算 , 当 B[0] 与 向 量 A 的 各 个 元 素 相 乘 
时 ,只 需 将 计算 的 结果 直接 加 入 向 量 的 尾部 即 可 ,但 在 进行 第 2 轮 运算 时 , 则 需要 考虑 存储 
乘法 结果 的 向 量 是 否 在 相应 的 位 置 已 经 有 元 素 , 例 如 ,第 2 轮 运算 的 AL0]B[L1] 的 计算 结果 
所 存放 的 位 置 已 经 有 前 一 轮 的 计算 结果 A[1]B[L0], 因 此 ,A[0]B[L1] 的 结果 不 是 直接 添加 到 
向 量 ,而 是 与 A[1]BL0J] 进 行 相 加 ,然后 将 计算 结果 替换 原来 位 置 的 值 ,此 时 同样 需要 注意 
进位 的 问题 , 若 相 加 结果 大 于 0xFFFFFFFF, 则 carry 加 1. 


L ur [ AD An] [ ΛΙ ] 
κ πε BIO] 
Ὁ ΛΠΊΒΟΙ | AI2JB[o | amisto] [ Atoistol 
^ 
(2) [ amen] [ zip] [ anu) [ aliu 


图 14-4 乘法 运算 过 程 示意 图 


在 全 部 乘法 运算 完成 之 后 ,还 需要 注意 最 后 一 次 进位 的 问题 , 当 最 后 一 次 计算 得 到 的 
carry 大 于 “0” 时 ,需要 将 carry 添加 到 向 量 的 最 后 。 

除法 运算 的 实现 

“/” 运 算 符 重 载 实现 两 个 大 数 相 除 ,两 个 大 数 相 除 使 用 的 方法 是 试 乘法 ,通过 获得 两 个 
大 数 的 向 量 的 大 小 来 确定 可 能 结果 的 最 大 值 和 最 小 值 ,在 计算 最 大 值 和 最 小 值 的 平均 值 来 
HIR ,然后 根据 试 乘 的 结果 重新 确定 最 大 值 和 最 小 值 , 再 计算 平均 值 , 依 次 重复 至 满足 相应 
的 条 件 。 大 数 除 法 的 详细 代码 见 程序 清单 14-16. 


程序 清单 14-16 
0l HugeInt operator/ (const HugeInt &hugeIntl,const HugeInt shugeInt2) 
0 ( 
03 HugeInt out; 
04 HugeInt max,min,X,R; 
05 word32 1; 
06 if(hugeIntl« hugeInt2) 
07 { 


08 out.v.push back(0); 


y A 
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09 
10 


3 ) 


大 数 除法 运算 函数 的 参数 为 两 个 Hugelnt KB, RE In] 2879) th FE Hugelnt W, 
大 数 除法 的 运算 过 程 为 先 比 较 两 个 大 数 的 大 小 , 若 参数 1 小 于 参数 2, 则 返回 0, 和 否则 结束 。 
在 后 续 计 算 过 程 中 先 确定 除法 运算 结果 的 范围 , 见 代码 行 第 11 行 到 第 18 行 , 即 获 得 可 能 的 
最 大 值 max 和 可 能 的 最 小 值 min, 接 下 来 就 进行 循环 计算 。 接 下 来 就 是 循环 计算 ,余数 的 
计算 方法 为 R— hugeIntl — X * hugeInt2, 当 余数 大 于 0, 且 小 于 第 2 个 大 数 时 计算 结束 ,其 
中 XX 就 是 除法 运算 的 结果 。 当 余数 小 于 0 时 ,将 max 设 为 x, 当 余数 大 于 等 于 hugelnt2 时 ， 
就 将 min 设 为 X, 而 每 次 运算 X 的 取 值 为 (min 十 max)/2。(min 十 max)/2 通过 函数 avg() 


return out; 
} 
for (i= 0;i< (hugeIntl.v.size ()- hugeInt2.v.size()+1);i++) 
t 
max.v.push_back (ΟΚΕΕΕΕΕΕΕΕ); 
} 
for (i= 0;i< (hugeIntl.v.size()- hugeInt2.v.size());i++) 
{ 
min.v.push_back (0x0) ; 
} 
while(1) 
{ 
X= avg (max,min) ; 
R-hugeIntl- X* hugeInt2; 
if(R.flag-- - 1) 
{ 


max= X; 


else if (F^ - hugeInt2) 


来 完成 ,avg() 函 数 的 详细 代码 见 程序 清单 14-17。 
程序 清单 14-17 


01 HugeInt avg(const HugeInt &hugeIntl,const HugeInt &hugeInt2) 


2 { 
03 
04 
05 


HugeInt out; 
HugeInt temp; 
temp-hugeIntl* hugeInt2; 


23) 


word32 shiftCarry- 0; 
word32 i; 
out.v.push_back (temp.v[0]/2) ; 
for (i= l;i« temp.v.size();it*) 
{ 
shiftCarry- temp.v [i]&Oxl; 
if(shiftCarry-- 1) 
{ 
out.v[i- 1]+ =w32/2; 
} 


out.v.push back(temp.v[i]/2); 


) 
if (out.v [out.v.size ()- 1]- - 0) 
t 
out.v.erase (out..v.end () - 1) ; 
) 
retum out; 
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计算 平均 值 的 本 质 就 是 将 大 数 和 除 以 2, 使 用 向 量 计算 的 基本 原理 见 图 14-5 。 


图 14-5 是 以 8 位 数据 来 描述 平均 值 计算 的 原理 ,计算 方法 是 从 大 数 索引 的 低位 计算 到 
大 数 索引 的 高 位 ,在 计算 AL0] 时 只 需 直 接 除 以 2 ,或 右 移 一 位 。 在 计算 A[1] 时 ,由 于 ACT] 
的 最 低位 为 1, 因 此 需要 转换 为 ALO] 的 最 高 位 ,转换 的 方法 可 以 将 AL0] 的 计算 结果 与 
10000000 进行 或 运算 ,或 者 直接 加 10000000 ,两 种 方法 具有 相同 的 含义 ,其 本 质 上 就 是 
低位 向 量 元 素 的 最 高 位 就 是 高 一 位 元 素 的 最 低位 。 

对 于 计算 结果 ,同样 需要 注意 最 高 位 向 量 元 素 为 “0” 的 情况 , 当 最 高 位 向 量 元 素 为 “0” 


A[3] A[2] 


A[0] 


11111001 11000011 10000111 10011101 


A/2 | 01111100 15» [1100001 1-> | 01000011 1— | 01001110 1x 


01111100 11100001 


图 14-5 


时 , 则 需要 将 向 量 元 素 的 最 高 位 清除 。 
取 余 运算 的 实现 


大 数 取 余 (%) 运 算 实际 上 就 是 模 运 算 , 大 数 取 余 运 算 的 实现 方法 和 大 数 除法 运算 的 实 
现 方法 相同 ,大 数 除法 运算 的 返回 结果 为 商 , 而 大 数 取 余 运算 的 返回 结果 为 余数 。 大 数 取 余 


运算 实现 的 具体 代码 见 程序 清单 14-18。 
程序 清单 14-18 


Ol HugeInt operator’ (const HugeInt &hugeIntl,const HugeInt &hugeInt2) 
2 { 


03 
04 


HugeInt out; 
HugeInt zero; 


11001110 


^225. 
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05 zero.v.push back(0); 

06 HugeInt max,min,X, R; 

07 word i; 

08 if(hugeIntl« hugeInt2) 

09 { 

10 out.v.push back (0); 

pua return hugeIntl; 

12 

13 if(hugeInt2-- zero) 

14 { 

15 return zero; 

16 

17 for (i= 0;i« (hugeIntl.v.size()- hugeInt2.v.size()* 1)}11 11) 
18 { 

19 max.V.push_back (OxFFFFFFFF); 
20 

a for (i= 0;i« (hugeInt1.v.size()— hugeInt2.v.size());i+ +) 
2 { 

23 min.v.push_back (0x0) ; 

24 

25 while (1) 

26 { 

27 X= avg (max, min) ; 

28 R-hugeIntl- Xx hugeInt2; 
29 if(R.flag--- 1) 

3 t 

3l max-X; 

2 

33 else if (> -hugeInt2) 

34 

35 min-X; 

36 

37 else 

38 { 

39 break; 

40 

41 } 

42 retum R; 


5 
B 


} 


大 数 取 余 运 算 的 计算 过 程 类 似 于 大 数 的 除法 运算 ,在 第 8 行 到 第 12 行 代码 行 中 , 当 大 
小 于 大 数 2 时 ,返回 的 余数 为 大 数 1, 同 时 最 后 的 返回 值 也 为 余数 。 


14.5.1.4 其 他 大 数 算 法 的 实现 
常用 的 大 数 运算 除了 比较 运算 、 基 本 运算 外 ,还 有 吞 模 运算 、 乘 法 逆 元 运算 和 欧 几 里 得 
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(gcd) 运 算 等 ,这 些 运 算 也 是 公 钥 密码 算法 中 常用 的 运算 方法 ,这 些 算法 的 实现 方法 都 是 基 
于 大 数 基本 运算 来 实现 的 。 
EE S BJ SE HI 
WBE TE 1536} T TEE A® mod N FRE SER SEAR UB 14.1.5 WPA PE H ΤΠ 
模 运 算 的 具体 实现 见 代 码 清单 14-19, 
程序 清单 14-19 


Ol HugeInt expMod(const HugeInt &x,const HugeInt &y,const HugeInt &n) 


et 
03 


39 } 


HugeInt out; 
HugeInt zero; 
HugeInt X= x; 
HugeInt Y= y; 
out.v.push back(1); 
zero.v.push back(0) ; 
while(Y» zero) 
t 
if((Y.v[0]) &1) 
t 
out= (out * X) ὅπ; 
) 
Y= shiftRightOne (Y) ; 
X= Κλ X)$n; 
) 
retum out; 


FBS EHR 1 OF EL PE A δν 8 E ULCUS {9 Bes TE SERE TE 4 — SC. ΤΕ Λε RHE rh ήν {τ 
移 一 位 的 过 程 通过 函数 shiftRightOne O 3 % AK. shift RightOne O 函数 的 详细 代码 见 程序 


清单 14-20, 
程序 清单 14-20 
Ol HugeInt shiftRightOne (const HugeInt& hugeInt) 
a2 ( 
03 HugeInt out; 
04 HugeInt one, zero; 
05 zero.v.push back(0); 
06 cne.v.push back (1); 
07 if(hugeInt-- zero || hugeInt- -- one) 
08 { 
09 retum zero; 
10 } 
11 word32 shiftCarry= 0; 
12 word i; 
13 out.v.push back (hugeTnt.v[0]/2) ; 
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14 for (i= 1;i« hugelnt.v-size();i+ +) 
15 t 

16 shiftCarry= hugeInt..v[i]&0x1; 
17 if(shiftCarry-- 1) 

18 { 

19 out.v[i- 1]+ =w32/2; 

20 } 

21 out.v.push back(hugeInt.v[i]/2); 
22 } 

23 if(out.v[out.v.size()- 1J==0) 

24 ti 

25 out.v.erase (out.v.end()- 1) ; 
26 ) 

2 retum out; 

28 ) 


右 移 一 位 函数 的 实现 方法 与 在 除法 运算 中 使 用 的 计算 平均 值 函数 avg() 的 实现 方法 一 
致 ,avg() 函数 的 参数 包含 两 个 HugeInt 型 参数 , 先 计算 和 ,再 计算 平均 值 ,而 计算 两 个 大 数 
平均 值 的 本 质 就 是 将 大 数 右 移 一 位 。 在 计算 过 程 中 当 输入 的 大 数 为 “0? 或 “1" 时 ,直接 返回 
“0”, 在 右 移 一 位 的 运算 过 程 中 同样 需要 处 理 大 数 向 量 高 位 为 “0” 的 问题 ,代码 行 第 16 行 到 
第 20 行 就 是 用 于 解决 大 数 向 量 高 位 为 ~0” 的 问题 。 

欧 几 里 得 算法 的 实现 

大 数 欧 几 里 得 算法 的 实现 方法 与 2. 3. 3 节 的 乘 数 密码 算法 实现 中 的 欧 几 里 得 算法 的 实 
现 方法 一 致 ,只 是 由 原来 的 普通 整数 的 计算 转换 为 大 数 的 计算 。 大 数 欧 几 里 得 算法 实现 的 
具体 代码 见 程 序 清单 14-21。 


程序 清单 14-21 
01 HugeInt god (const HugeInt N,const HugeInt K) 
a2 { 
03 HugeInt zero; 
04 HugeInt n- N; 
05 HugeInt k= K; 
06 zero.v.push back(0); 
07 if(n-- zero) 
08 x 
09 return k; 
10 } 
1l if(k-- zero) 
12 { 
13 return n; 
14 } 
15 m=ntk; 
16 retum god (k,n) 
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程序 清单 的 zero 是 只 有 一 个 “0” 元 素 的 大 数 , 其 作用 是 用 于 判断 或 是否 为 0。 

乘法 逆 元 计算 的 实现 

在 RSA 加 密 算 法 和 其 他 公 钥 密码 算法 中 经 常会 在 计算 密 钥 时 使 用 乘法 道 元 ,乘法 道 元 
的 计算 原理 与 实现 方法 与 2. 3. 2 节 的 扩展 的 欧 几 里 得 算法 中 所 描述 的 方法 一 致 ,在 实现 过 
程 中 也 是 将 普通 整数 改 为 大 数 ,乘法 着 元 计算 过 程 中 所 用 到 的 结构 体 的 声明 如 下 : 


Struct ExtEuc 


{ 


HugeInt d; 
HugeInt s; 
HugeInt t; 


J; 


该 结构 体 中 的 数据 为 扩展 的 欧 几 里 得 算法 的 实现 中 所 需要 的 相关 数据 ,其 中 s 为 乘法 
道 元 ,具体 原理 见 2. 3. 2 节 ,乘法 着 元 计算 的 具体 代码 见 程序 清单 14-22. 


程序 清单 14-22 


Ol ExtEuc invMpd(HugeInt A,HugeInt B) 


0e { 


989885298 


ΒΕ 


ExtEuc eu,eul; 
HugeInt a- A; 
HugeInt b- B; 
HugeInt out; 
HugeInt zero,cne; 
zero.v.push back (0) ; 
one.v.push_back (1) ; 
if (b= = zero) 
{ 
eul.d-a; 
eul.s- one; 
eul.t- zero; 
return eul; 
) 
eul- inod (b, a&b) ; 
eu.d- eul.d; 
eu.d.setFlag (eul.d.flag); 
eu.s eul.t; 
eu.s.setFlag (eul.t.flag); 


if(eul.s.flag!-1 && eul.t.flag!-1) 


{ 
eu.t= (a/b) * eul.t- eul.s; 
eu.t.setFlag(- 1); 

} 


else if (eul.s.flag-=1 εξ eul.t.flag-=1) 


{ 
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29 eu.t-eul.s- (a/b) * eul.t; 

30 

31 else if(eul.s.flag--1 && eul.t.flag!- 1) 
32 { 

3 eu.t=eul.st (a/b) * eul.t; 

34 

35 else 

36 { 

31 eu.t- zero- ((a/b) * eul.t+ eul.s); 
38 

39 retum eu; 

4ο } 


在 程序 清单 的 第 22 行 代 码 到 第 38 行 代码 的 计算 过 程 是 要 计算 eu. t=eul. s— (a/b) κ 
eul.t, 但 是 由 于 大 数 的 符号 是 通过 专用 的 符号 来 表示 的 ,因此 在 计算 过 程 中 需要 考虑 符号 
的 问题 ,例如 , 当 eul. s 为 正 数 ,eul.t 为 负数 时 ,由 于 在 减法 运算 中 并 不 考虑 正 负数 问题 , 因 
此 ,算式 eu. t=eul. s— (a/b) * eul. t 的 计算 需 转换 为 eu. t=eul. s 十 (a/b) * eul.t, 其 他 各 
部 分 的 计算 转换 原理 与 此 相同 。 


14.5.2 素性 检测 的 实现 


素性 检测 过 程 的 实现 既 可 以 作为 Hugelnt 类 的 一 部 分 ,也 可 以 单独 作为 一 个 类 来 实 
现 ,在 本 示例 中 素性 检测 由 素性 检测 类 Prime 来 实现 ,Prime 类 的 基本 结构 见 图 14-6。 


Prime | 
+ calcK (const HugeInt& hugelnt) :int 
+ calcQ (const HugeInt& hugelnt) : Hugelnt 
+ witness (const HugeInt& a, const HugeInt& n) : bool 
+ millerRabin (const Hugelnt& n, int s) : bool 


图 14-6 Prime 类 图 


Prime 类 的 声明 见 程序 清单 14-23. 


程序 清单 14-23 
0l class Prime:public HugeInt 
0 { 
03 public: 
04 int calcK (const HugeInt& hugeInt); 
05 HugeInt caloQ(const HugeInt& hugeInt); 
06 bool witness (const HugeInt& a,const HugeInt &n); 
07 bool millerRabin (HugeInté η, int s); 
0 y 


本 示例 中 的 素性 检测 方法 采用 的 是 Rabin-Miller 检测 算法 , Prime 类 采用 了 继承 
Hugelnt 类 的 方法 ,在 实现 过 程 中 ,也 可 以 将 素性 检测 相关 的 内 容 直 接 添加 到 HugeInt 类 
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中 ,在 Hugelnt 类 中 实现 素性 检测 。 
Prime 类 中 各 成 员 函 数 的 作用 如 下 : 
。 calcK() 一 一 用 于 计算 Rabin-Miller 素性 检测 算法 中 用 到 的 常量 A。 
。 caleQO —— Hi T iT 8 Rabin-Miller 素性 检测 算法 中 用 到 的 常量 q, 
。 witness() 一 一 用 于 检测 相关 大 数 是 否 是 合 数 的 证 据 。 
* millerRabin() Rabin-Miller 素性 检测 函数 。 
calcK() 函 数 的 实现 


计算 的 函数 主要 目的 是 计算 待 判断 是 否 为 素数 的 大 数 在 减 1 之 后 被 2 整除 的 次 数 ， 


可 以 通过 判断 n%2 是 否 为 0 来 统计 。 该 函数 的 详细 代码 见 程序 清单 14-24。 
程序 清单 14-24 


Ol int Prime::calcK(const HugeInt& hugeInt) 
a ( 


03 HugeInt zero,one,two; 
04 HugeInt n- hugeInt; 
05 int count- 0; 

06 zero.gensmallInt (0) ; 
07 one.genSmallInt (1) ; 
08 two.genSmallInt (2); 
09 n-n-one; 

10 while (n> zero) 

1l { 

19 if (nštwo= = zero) 
13 { 

14 count+ ; 
15 m= n/two; 

16 } 

17 else 

18 i 

19 break; 

20 } 

21 } 

22 return count; 


23 } 


caleK O PHBL 5: ἃς Ἂ {1513 WJ {ἡ A, ER BC A [| (ñ A HE πὲ 1 之 后 被 2 整除 的 次 
Ji ERU ASR EKA. PROCU IIT zero. one. two 均 为 大 数 , 方 便 用 于 计算 或 


计算 过 程 中 的 比较 。 同 时 在 统计 之 前 需 将 大 数 减 1 (n=n—one). 
calcQO 函数 的 实现 


calcQ() 函 数 实际 上 是 要 计算 n— 1 — 2'q 中 的 g ,函数 的 参数 为 大 数 Hugelnt, 函数 的 返 


回 类 型 也 是 大 数 HugeInt。calcQ() 实 现 的 详细 代码 见 程序 清单 14-25。 
程序 清单 14-25 


01 HugeInt Prie: :calcQ(const HugeInt& hugeInt) 


y A 
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HugeInt q,one; 
one.genSmall Int (1); 

int tang; 

‘tempQ= calcK (hugeInt) ; 
tempo- (2<< (tenpo- 1)); 
q.gensmallInt (tempQ) ; 
return (hugeInt- one) /q; 


f£ q 的 计算 过 程 中 2* 的 计算 直接 通过 移 位 运算 来 完成 ,具体 见 代 码 行 第 7 行 ,在 计算 
过 程 中 与 calcK0 〇 函数 相似 ,也 用 到 了 大 数 减 1 运算 ,也 需要 定义 大 数 的 “1? 来 实现 大 数 的 减 


witness O 函数 是 针对 有 个 随机 数 来 判断 待 测 大 数 是 否 是 合 数 ,函数 的 具体 代码 见 程序 


1 运算 。 
witness() 函数 的 实现 
清单 14-26, 
程序 清单 14-26 
Ol bool Prime: :witness (const HugeInt& a,const HugeInt ἔπ) 
0 { 
03 int kl=calcK(n); 
04 HugeInt ql= calcQ(n) ; 
05 HugeInt one; 
06 one .genSmal Int (1) ; 
07 inti; 
08 HugeInt x0,xl; 
09 x0- exod (x0, ql, n) ; 
10 for(i=1;i<=kl;i++) 
1 { 
12 total+ +; 
B HugeInt ας; 
14 q@2.genSmal Lint (2«« (i- 1)); 
15 ees d; 
16 xl= excMod (a, αρ, η) ; 
17 if (xl==one && x0!= one && x0!= (n- one)) 
18 í 
19 retum false; 
20 } 
2 x0-xl; 
2 } 
23 if(xl'-one) 
24 { 
2 retum true; 
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8.) 
witness() 函数 包括 两 个 参数 ,一 个 是 待 检测 的 大 数 , 另 一 个 是 用 来 检测 的 大 数 ,函数 的 
返回 类 型 是 bool 型 。 
millerRabin() 函数 的 实现 
millerRabin() 函 数 用 于 检测 给 定 的 大 数 是 否 是 素数 ,函数 的 具体 代码 见 程序 清单 14-27。 
程序 清单 14-27 


Ol bool Prime::millerRabin (HugeIntg η, int s) 


e { 

03 HugeInt two, three; 

04 two.genSmallInt (2); 

05 three.gensmallInt (3) ; 

06 inti; 

07 int length- n.getLength (n) ; 
08 HugeInt a; 

09 for (i= O;i< s;it*) 

10 { 

1 a.genHugeInt (length) ; 
12 a= a$ (n- three) + two; 
13 if (witness (a,n) ) 

14 { 

15 retum false; 

16 } 

17 } 

18 retum true; 


19. 3 


millerRabin O 函数 的 参数 有 两 个 ,一 个 是 待 检测 的 大 数 , 另 一 个 是 检测 的 次 数 ,函数 
的 返回 值 是 bool 型 。 函 数 中 的 a 是 随机 生成 的 大 数 , 用 于 检测 大 数 的 素性 ,其 值 的 范围 
为 1 二 a 二 n 一 1, 随 机 选取 a 的 次 数 由 可 能 是 素数 的 所 需 的 概率 来 确定 , 即 由 函数 的 参数 
s 来 确定 。 

在 程序 清单 14-27 中 ,素性 检测 采用 的 是 简单 的 Rabin-Miller 检测 算法 ,在 实际 检测 中 
还 可 以 通过 其 他 一 些 方法 有 效 加 快 素性 检测 的 速度 ,例如 : 用 小 于 1000 的 小 素数 先 作 为 检 
测 的 因子 ,对待 检测 的 大 数 进行 验证 ,这 样 可 以 较 快 将 非 素数 排除 ,大 大 缩短 素性 检测 的 时 
间 。 比 如 ,如 果 一 个 奇数 的 尾数 为 5 或 5 的 倍数 ,那么 直接 计算 n%5 二 0, 就 可 以 确定 该 大 
数 不 是 素数 。 使 用 小 于 1000 的 小 素数 作为 检测 的 因子 ,实现 的 方法 也 比较 简单 ,只 需 将 这 
些小 素数 存放 到 相应 数组 ,在 使 用 时 再 将 这 些小 素数 放 入 向 量 , 并 应 用 于 相应 的 检测 即 可 。 

素数 生成 

素数 生成 可 以 通过 自 定义 一 个 相关 的 函数 实现 ,素数 的 长 度 可 以 通过 函数 的 参数 来 确 
XE ,获得 素数 的 函数 的 详细 代码 见 程序 清单 14-28。 

程序 清单 14-28 


Ol HugeInt getPrime (int length) 


"ES. 


,234” ΒΔΕ RSA 算 法 


am { 
03 HugeInt hugeInt1, zero, one; 
04 Prime prime; 


05 zero.genSmal Lint (0) ; 
06 one.genSmal lint (1) ; 
07 hugeIntl.genHugeInt (length) ; 


08 if(hugeIntl$two- = zero) 

09 { 

10 hugeIntl- hugeInt + one; 

1 } 

12 while (1) 

B { 

14 cout<< "hugeInt- "<< hugeTnt1; 

15 if(prime.millerRabin (hugeInt 1,10) ) 
16 { 

17 break; 

18 } 

19 else 

20 { 

a hugeIntl.genHugeInt (length) ; 
22 if(hugeIntl&two-- zero) 
23 { 

24 hugeInt1= hugeIntl4 one; 
25 ) 

26 } 

21 } 


28 retum hugeIntl; 

29 ł 

获得 素数 的 基本 过 程 是 : 

(1) 随机 生成 一 个 所 需 长 度 的 大 数 。 

(2) 判断 该 数 是 否 是 奇数 , 若 不 是 奇数 , 则 将 该 大 数 加 1. 

(3) 对 生成 的 大 数 进行 素性 检测 , 若 该 大 数 是 素数 则 返回 该 大 数 。 若 该 大 数 不 是 素数 ， 
则 返回 到 第 一 步 。 

重复 上 述 过 程 直到 生成 所 需 的 素数 为 止 。 

getPrime() 函 数 既 可 以 作为 独立 的 函数 ,也 可 以 作为 Prime 类 的 一 个 成 员 函 数 ,在 示例 
中 是 作为 一 个 独立 的 函数 ,而 Prime 类 只 作为 素性 检测 的 类 。 


14.5.3 RSA 算法 的 实现 


RSA 算法 是 建立 在 大 数 运算 和 素性 检测 的 基础 上 ,用 到 了 欧 几 里 得 运算 、 乘 法 逆 元 计 
TRE BS TE^E.RSA 算法 通过 RSA 类 来 实现 ,RSA 类 的 基本 结构 见 图 14-7。 
RSA 类 的 声明 见 程序 清单 14-29 。 
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: Hugelnt 
: Hugelnt 
: Hugelnt 
: Hugelnt 
: Hugelnt 
: Hugelnt 
: Hugelnt 
: Hugelnt 
- decM : Hugelnt 


see ee ο 


o 


+ setPrime (const HugeInt& P, const HugeInt& Q) : void 
+ getKey 0 : void 
+ setPlainText (const HugeInt& plainText) : void 
* encryption () : void 
+ decryption () : void 
+ display 0 : void 


图 14-7 RSA 类 的 基本 结构 


程序 清单 14-29 
0l class RSA 
0 { 
03 public: 
04 void setPrime (const HugeInt& P,const HugeInt& Q); 
05 void getKey (); 
06 void setPlainText (const HugeInt& plainText); 
07 void encryption () ; 
08 void decryption() ; 
09 void display(; 
10 private: 
1 HugeInt p; 
12 HugeInt q; 
B HugeInt e; 
14 HugeInt d; 
15 HugeInt n; 
16 HugeInt phi; 
17 HugeInt M; 
18 HugeInt C; 
19 HugeInt deM; 
20 y 


RSA 类 中 各 成 员 函 数 和 成 员 变 量 的 作用 如 下 : 

。 p,q 一 一 分 别 为 两 个 大 素数 ,用 于 RSA 算法 中 的 密 钥 计算 。 
。e,d 一 一 分 别 为 加 密 密 钥 和 解密 密 钥 。 

p 和 q 的 乘积 ,用 于 公 钥 Ce,n) 。 

° phi 一 一 即 Cn) ,为 (p 一 1)(q 一 1) ,用 于 计算 私 钥 。 

M 一 一 待 加 密 的 明文 。 


* 1 
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* C 一 一 加 密 后 的 密 文 。 

* decM 将 密 文 脱 密 后 得 到 的 明文 。 

* setPrime() 设置 p 和 9 的 函数 。 

。 getKey() 一 一 计算 获得 公 钥 和 私 钥 的 函数 。 
。 setPlainText() 一 一 用 于 设置 待 加 密 的 明文 。 
° encryption() 一 一 加 密 函 数 。 
decryption() 一 一 解密 函数 。 

° display() 一 一 辅助 函数 ,用 于 显示 计算 结果 。 
setPrime() 函数 的 实现 


setPrime() 函 数 是 用 于 获取 计算 密 钥 所 需 的 两 个 大 素数 ,函数 的 参数 就 是 对 应 的 大 素 


数 ,setPrime() 函 数 的 具体 代码 见 程序 清单 14-30。 


程序 清单 14-30 
Ol void RSA::setPrime (const HugeInt& P,const HugeInt& Q) 
e { 
03 PP; 
04 Fo 
05 } 


函数 的 内 容 比较 简单 ,其 功能 就 是 将 获得 的 两 个 大 素数 赋 给 RSA 类 中 相应 的 变量 。 


getKey O 函数 的 实现 


getKey() 函 数 主要 用 于 计算 公 钥 与 私 钥 , 是 RSA 算法 实现 中 最 主要 的 环节 ,通过 获得 
的 大 素数 来 计算 得 到 加 密 密 钥 与 解密 密 钥 , 函 数 的 具体 代码 见 程 序 清单 14-31, 


程序 清单 14-31 


Ol void RSA::getKey () 

0 { 

03 HugeInt one; 

04 one.genSmal lint (1); 


05 n-p* q; 

06 phi- (p- one) * (q one); 
07 e.genHugeTnt (4) ; 

08 while(1) 

09 { 

10 if(god(e,phi)-— one) 
u { 

12 break; 

13 } 

14 else 

15 { 

16 e.genHugeInt (4); 
17 ) 

18 ) 
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20 eu- inwWod(e,phi) ; 
a d-eu.s; 

22 if(d.flag!- 1) 

23 { 

24 d-phi- eu.s; 
25 } 

26 } 


getKey() 函 数 通过 大 素数 p 和 q 计算 获得 公 钥 之 一 n, 然 后 计算 p(n) ,再 选择 私 钥 e. 
并 满足 e 与 p(Cn) 互 素 , 代 码 行 的 第 7 行 到 第 18 行为 选择 e 的 过 程 , 若 得 到 合适 的 e, 则 根据 
e 和 n 计算 d, 由 于 在 计算 乘法 逆 元 时 ,乘法 逆 元 可 能 是 负 值 ,代码 行 的 第 22 行 到 第 25 行为 
处 理 负 值 问题 。 

setPlainText() 函数 的 实现 

setPlainText() 用 于 获取 明文 ,函数 的 详细 代码 见 程序 清单 13-52, 

程序 清单 14-32 

Ol void RSA: :setPlainText (const HugeInt& plainText) 

02 { 

03 M-plainText; 

0 } 

setPlainText() 函 数 的 参数 为 大 数 形式 的 明文 ,函数 的 功能 是 将 需 加 密 的 明文 传递 给 
RSA 的 成 员 变 量 M。 

encryption() 函 数 的 实现 

encryption O 函数 功能 是 计算 M* mod ”本 质 就 是 进行 寡 模 运算 ,实现 的 方法 是 直接 调 
FAK BE rp B 384838 FY PRE encryption 函数 的 详细 代码 见 程序 清单 14-33 。 

程序 清单 14-33 


Ol void RSA::encryption() 


o { 

03 C=exgMod(M,e,n) ; 

04 1 

decryption) 函数 的 实现 


decryption() 函 数 的 功能 是 计算 C^ mod n, 其 计算 过 程 的 本 质 与 encryption() 相 同 , 也 

是 进行 寡 模 运算 ,decryption() 函数 的 详细 代码 见 程序 清单 14-34。 
程序 清单 14-34 

Ol void RSA: :decryption () 

oet 

03 dec exrMod (C, d,n) ; 

0 } 

display() 函 数 的 实现 

display() 函数 主要 是 方便 检验 计算 结果 ,函数 的 详细 代码 见 程 序 清单 14-35。 
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程序 清单 14-35 
OL void RSA: :display() 
2 { 
03 cout<< "p= "<< p; 
04 cout«« "q= "<< q; 
05 cout<< "n= "<< n; 
06 cout<< "phi= "<< phi; 
07 cout<< "e- "<< e; 
08 cout<< "d= "<< d; 
09 cout<< "M= "<< M; 
10 cout<< "C= "<< C; 
1 cout<< "decM= "<< deM; 
12 } 


display() 函 数 直 接 显示 各 类 大 数 , 该 功能 使 用 了 大 数 类 中 的 输出 运算 符 的 重 载 。 


14.5.4 RSA 加 密 算法 测试 


RSA 加 密 算 法 的 测试 可 以 通过 主 函 数 直接 进行 测试 ,或 编写 一 个 相应 的 测试 函数 用 于 


测试 ,在 本 例 中 直接 使 用 主 函数 进行 测试 ,测试 代码 见 程 序 清单 14-36。 


程序 清单 14-36 
0l intmain() 
0 { 
03 RSA rsa; 
04 HugeInt P,Q,M; 
05 M.genHugeInt (5) ; 
06 rsa.setPlainText (M) ; 
07 P-getPrime (8) ; 
08 Q= getPrime (8); 
09 rsa.setPrime (P,Q); 
10 rsa.getKey () 7 
1 rsa.encryption() ; 
12 rsa.decryption() ; 
13 rsa.display(); 
14 retum 0; 
ας i 


测试 过 程 中 的 明文 通过 随机 方法 生成 ,在 实际 应 用 中 可 以 通过 文件 读 人 明文 ,并 转换 为 
16 进 制 的 格式 即 可 。 在 代码 行 的 第 7 行 和 第 8 行为 获取 两 个 大 素数 ,大 素数 的 长 度 可 以 根 
据 需要 来 确定 ,示例 中 的 参数 为 8, 则 大 素数 的 长 度 为 8X32 一 256, 密 钥 的 长 度 为 512。 在 
获得 所 需 的 大 素数 之 后 就 计算 公 钥 和 私 钥 , 在 利用 公 钥 和 私 钥 分 别 进行 加 密 和 解密 测试 。 
测试 得 到 的 结果 如 下 : 


p= 5404365625b0597b5e1q6c631f6465161d455314117129qba0096266f277a0acl 
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q= 4la465d5Ibab4d3c0f£ 7£4692 328534217085 746343ad555561d161d839720e69 

τε- 158b05ea48c7c821f0e55357502e4e8a124e999156fdc6ae435ef 5?9aadf 3db8 
3187803703858coe8c28e8f079145df800558227a121a647c696cc55a096f 729 

phi- 158b05ea48c7c82110855357502e4e8a124e999156fdc6ae435e f 5? 9aadf 335 7 

Sbdeefübc229e6171e8c35fb?6dac4c0578aHo264c032 738642 f440e3faade00 

e= 1916183833ce1c5331c16c9c291c0eb7 

d 54dec16aBf8bf 3385 79850d13d704b3e0ede TT115fEib5df£4b234ae29514e2ee 
di55614b4d3c489281a?8dfd7380edc2a1816e4da6c 78036206726380 1337107 

M= 6d8a36435461c11ed615540fe67a028d52ee805d0 

C= 140175c6578783fe516ea901f3a5941dc5a70224f 185c43£8480ed72dbl?a c2 
1706aec24004e809e33e5a6430f 78458£1254b057655510ba625e81b146a15a95 

dec 638a6435467c71ed615540fe67a028d52ee80530 


最 后 得 到 的 结果 为 M= decM。 

在 实际 应 用 中 密 钥 通常 在 计算 得 到 后 需要 保存 ,一 般 可 以 使 用 文件 的 形式 进行 保存 ,在 
使 用 时 再 读 取 密 钥 ,同样 ,明文 也 是 从 文件 中 获取 。 

若 需要 使 用 1024 位 密 钥 进行 加 密 和 解密 ,只 需要 将 获取 大 素数 的 函数 的 参数 做 相应 的 
修改 , 即 P= getPrime (16), Q= getPrime(16)。 当 然 , 也 通过 变量 的 形式 来 设置 密 钥 的 
长 度 。 


14.6 习题 与 实践 题 


14.6.1 习题 


计算 3" mod 67, 
. 计算 5 FE 13 的 乘法 逆 元 。 
. 使 用 Rabin-Miller 素性 检测 法 判断 23 是 否 是 素数 。 
. 使 用 Solovag-Strassen 素性 检测 法 判断 17 是 否 是 素数 。 
使 用 Lehmann 素性 检测 法 判断 50 是 否 是 素数 。 
. 使 用 AKS 素性 检测 法 判断 21 是 否 是 素数 。 
. 简要 说 明 大 数 除法 的 基本 原理 ,并 根据 大 数 除法 的 基本 原理 计算 45/9, 给 出 详细 计 
算 过 程 。 
8. 假设 RSA 算法 中 的 p= 二 17,g 二 23,M 二 34, 试 给 出 计算 示例 说 明 RSA 加 密 和 解密 的 
基本 过 程 , 其 中 公 钥 e 根据 相关 条 件 自己 进行 选择 。 


14.6.2 RRM 


1. 参考 14.5 节 的 相关 内 容 ,编程 实现 Solovag-Strassen 素性 检测 法 。 

2. 参考 14.5 节 的 相关 内 容 ,编程 实现 RSA 加 密 算 法 ,要求 大 数 的 处 理 方式 采用 数组 
的 形式 进行 处 理 。 

3. 百 万 富翁 问题 有 两 个 百 万 富翁 在 街头 相遇 ,他 们 想 比 较 谁 更 富有 ( 即 谁 的 财富 更 
多 ) ,但 又 不 想 让 对 方 了 解 自己 的 财富 有 多 少 ? 如 果 他 们 能 找到 一 个 双方 都 可 信 的 第 三 方 来 


τ 5 σι = ο το - 
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做 这 件 事 , 则 问题 很 容易 就 解决 。 但 如 果 其 中 一 个 百 万 富翁 除了 自己 以 外 , 谁 都 不 相信 ,这 
样 问题 就 比较 困难 了 ,那么 如 何在 不 需要 借助 第 三 方 的 情况 下 比较 他 们 财富 的 多 少 ? 

这 个 问题 是 由 华裔 计算 机 学 家 姚 启 智 在 1982 年 提出 的 ,这 个 问题 又 被 称 为 姚 氏 百 万 富 
ΕΠΗ 

假设 富翁 A 和 富翁 B 的 财富 值 分 别 为 Alb TF B (ΗΚ: 1a bN, 
其 中 N 是 一 个 正 整数 ,他 们 的 问题 可 以 通过 一 个 公 钥 算法 来 完成 。 假 设 他 们 选择 了 RSA 
公 钥 算法 ,并且 他 们 两 人 都 是 诚实 的 ,那么 ,他 们 的 问题 可 以 通过 以 下 步骤 完成 ， 

CD 富翁 B 产 生 他 的 公私 钥 对 (KU ,KRa) 。 

(2) 富翁 A 随机 选择 一 个 较 大 的 正 整 数 z, 计 算 

c = Eku, (z) 
CD 富翁 A 计算 c —c—a FEM “发送 给 富翁 B. 
OD 853 ΒΕ i=1,2,-- ,N 计算 
yi = Dis, C + i) 
(5) 富翁 B 随机 选择 一 个 大 于 N 的 素数 户 ,对 于 ;一 1,2,…,N 计算 : 
z; = y,mod p 

(6) 对 于 每 个 i 检验 0 二 z; 二 p 一 1 是 否 成 立 ? 且 对 所 有 Aj 检验 |x; 一 zj | 宇 2 是 否 成 
ME? 如 果 有 一 不 成 立 则 返回 上 一 步 。 

(7) 富翁 B 将 下 面 序列 发 送 给 富翁 A: 

Zi sZ2 "° Ze Z= T loza + lesen + 1,p 

(8) 富翁 A 检查 该 序列 中 的 第 a 个 数 是 否 是 关于 模 p 与 x 同 余 ? 若 同 余 则 ab, 否则 
a>b, 

计算 过 程 示 例 : 

假设 富翁 A 的 财富 a=7, AA B 的 财富 0 一 9, 双 方 设 定 的 财富 上 限 值 N=12。 

CD 富翁 A 与 富翁 B 共 同 选择 RSA 算法 的 户 为 11,4 为 17, 计 算得 到 RSA 算法 的 "一 
187, 

(2) 富翁 B 计算 公 钥 和 私 钥 , 计 算 eG) ερ D(G— D = 11-1) X (17-1) = 160. JF 
选择 KU, =7 作为 公 钥 (7 与 160 互 素 ) ,并 计算 得 到 私 钥 KRas 王 23 ,并 公布 公 钥 。 

(3) 富翁 A 随机 选择 整数 + 二 16, 并 计算 

c = Egg, (z) = 16 mod 187 = 135 

并 计算 c =c—a=135—7= 128 ,并 将 128 发 送 给 富翁 B. 

OD ΒΒ BMF i—1.2.--.12 计算 

y: = Dua, (© + i) = Dee, (128 + i) = (128 + i)” mod 187 


计算 结果 如 下 : 
i 1 2 $ 4 5 67 8 9 1o ii 02 
y, 39 3 109 55 23 8 16 119 103 128 79 149 
(5) 富翁 B 随机 选择 一 个 大 于 N WAR p —23 3 F i— 1.2.7512 计算 : z; — y; mod 
pp, 计算 结果 如 下 : 
oy 2 o3 45.67 89, 10. 1» 132 
z; 16 3 17 9 0 8 16 4 11 13 10 11 


14.6 ”习题 与 实践 题 


根据 第 6 条 检测 步骤 ,p 二 23 不 符合 要 求 ,重新 选择 p= 二 83, 计 算 结 果 如 下 、: 
i 1 2. $ 4 5 6 7 8 9 10 11 12 
z 39 3 26 55 23 8 16 36 20 45 79 66 
4 p=83 时 符合 第 6 条 检测 步骤 , 则 富翁 也 将 以 下 序列 发 送 给 富翁 A: 
39 3 26 55 23 8 16 36 20 45+1 79+1 66+1 83 

TERE b 个 数 之 后 ,每 个 数 加 1, 最 后 一 个 数 为 如 ,不 用 加 。 

(6) 富翁 A 检测 第 7 个 数 是 16, 它 是 与 x 二 16 关于 模 83 同 余 ,所 以 富翁 A 的 结论 是 : 
ab, HA A 得 出 结论 后 将 结论 告诉 富翁 B. 

程序 要 求 ”编写 一 个 程序 帮助 这 两 个 富翁 解决 财富 比较 问题 ,并 假设 他 们 的 财富 比较 
问题 在 整 型 数据 范围 内 可 以 得 到 解决 ,使 用 的 公 钥 算法 为 RSA 算法 。 

4. 平均 薪水 问题 “假设 某 公 司 有 个 职员 ,他 们 想 了 解 这 个 职员 的 平均 薪水 是 多 
少 ? 但 是 ,每 个 职员 又 不 想 让 其 他 职员 知道 自己 的 薪水 是 多 少 , 那 么 在 这 种 情况 下 他 们 如 何 
计算 这 些 职员 的 平均 薪水 呢 ? 

假设 公司 的 个 职员 分 别 是 Ai ,As ,…',A,, 他 们 的 薪水 分 别 是 ay ,az as XX n TA 
员 在 不 泄露 自己 薪水 的 情况 下 也 可 以 计算 得 到 个 职员 的 平均 薪水 。 假 设 所 有 的 职员 都 是 
诚实 的 ,那么 平均 薪水 的 具体 计算 过 程 如 下 : 

(1) 所 有 公司 职员 共同 确定 一 个 公 钥 算法 ,例如 ,使 用 RSA 算法 ,然后 每 个 职员 确定 各 
自 的 公私 钥 对 (KU; KR;) 

(2) 职员 Αι 随机 选择 一 个 数 > 并 加 上 他 的 薪水 xz 十 al ,用 A, 的 公 钥 进行 加 密 , 并 利用 
下 式 加 密 : 

Έκυ,(α Γαι) 

在 加 密 完 成 后 将 加 密 结 果 发 送 给 A 。 

(3) 职员 A, 使 用 自己 的 私 钥 KR, 进行 解密 ,解密 公式 如 下 : 

Dxr, (Exu, (z + a10) 

解密 后 得 到 z 十 ai ,然后 再 加 上 自己 的 薪水 a: 得 到 xai 十 cz ,再 使 用 Λι 的 公 钥 进行 

加 密 ,加密 的 公式 如 下 : 


Exu, (z +a, + az) 
在 加 密 完成 后 将 加 密 结 果 发 送 给 A;。 
(4) As 又 进行 与 A. 相同 的 操作 ,直至 到 A,- 。 
(5) A, 用 他 的 私 钥 进 行 KR, 解密 ,解密 公式 如 下 : 
Dxr, (Exu, Cr. +a, ++ +a,1)) 
d fig s πὶ ΒΤ BR Ke ay Hate ta, FE EDA 的 公 钥 进行 加 密 , 加 密 公式 
如 下 : 
Exo, Gc a1 +o? +a +4.) 
在 加 密 完成 后 将 加 密 结果 发 送 给 A 。 
(6) A, 在 获得 结果 后 用 私 钥 进行 解密 ,解密 公式 如 下 : 
Dre, Ero Gc +a, + +a, a0) 
将 解密 后 的 结果 减 去 zx, 再 除 以 人 数 便 得 到 平均 薪水 。A 在 计算 得 到 平均 薪水 之 后 便 可 以 
向 全 体 职员 公布 平均 薪水 。 
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计算 过 程 示例 
假设 职员 有 3 个 人 ,分 别 为 Ai ,As 和 As ,他 们 的 薪水 为 a 二 19,a, 二 18,as 二 23。 三 个 
只 员 共 同 商定 选择 RSA 公 钥 算法 来 计算 平均 工资 ,并 选择 的 素数 p= 二 11,g 二 17。 计 算得 到 
n=187,H p 和 g WRES eG —(p— D(q—-D —(001—0D X (17 一 1)= 二 160, 并 分 别 选择 各 
自 的 公 钥 及 计算 得 到 的 私 钥 如 下 : 
A, e=7 d=103 
A, e=17 d=113 
A, e—29 d=29 


平均 工资 的 具体 计算 过 程 如 下 : 

CD 职工 A, 选择 一 个 zx 一 31, 并 与 自己 的 工资 相 加 得 到 : 31 十 19 王 50, 然 后 利用 A, 的 
公 钥 进行 加 密 ,计算 50" mod 187—118 ,将 计算 结果 发 送 给 职工 Azo 

(2) 职工 A; 在 收 到 计算 结果 后 ,利用 自己 的 私 钥 对 由 As 发 送 过 来 的 数据 进行 解密 , 计 
算得 到 : 118" mod 187=50, 然 后 将 计算 结果 加 上 自己 的 工资 得 到 : 50 十 18= 二 68, 再 利用 职 
T. As 的 公 钥 进行 加 密 , 计 算 682 mod 187 —17 ,并 将 计算 结果 发 送 给 Αι. 

(3) 职工 As 在 收 到 计算 结果 后 ,利用 自己 的 私 钥 对 由 A, 传送 过 来 的 数据 进行 解密 , 计 
算得 到 : 17? mod 187 王 68 ,然后 将 计算 结果 加 上 自己 的 工资 得 到 : 68 123--91 ,再 利用 职工 
A, 的 公 钥 进行 加 密 ,计算 917 mod 187 — —31 ,并 将 计算 结果 发 送 给 Ai 。 

(4) A, 在 收 到 计算 结果 后 ,使 用 自己 的 私 钥 进行 加 密 。 计 算得 到 : 31 mod 187=91, 
在 减 去 自己 选择 的 zx, 得 : 91—31= 60. IF TE 8E 60/3 — 20. (8 IPE EJ T. VE Of ETE SE A8 AR 
公布 。 

程序 要 求 ”编写 一 个 程序 能 够 帮助 公司 职员 完成 平均 薪水 计算 的 任务 ,并 假设 这 个 计 
算 过 程 可 以 在 整数 范围 内 完成 。 


së 
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Diffie-Hel Iman 密 钥 交 换算 法 


Diffie-Hellman 密 钥 交换 算法 实际 上 是 一 种 安全 协议 ,这 种 协议 可 以 使 双方 在 一 个 不 
安全 的 信道 中 创建 一 个 密 钥 ,这 个 密 钥 可 以 在 后 续 的 通信 中 作为 对 称 密 钥 来 加 密 通 信和 内容。 
Diffie-Hellman 首先 由 Whitfield Diffie 和 Martin Hellman 于 1976 年 发 布 ,后 来 发 现 这 个 算法 已 
由 英国 信号 情报 部 门 的 Malcolm J. Williamson 设计 使 用 ,当时 该 项 设计 被 列 为 机 密 。 


15.1| Diffie-Hellman 算法 原理 


Diffie-Hellman 密 钥 交换 算法 是 一 个 匿名 的 密 钥 交换 协议 ,是 许多 认证 协议 的 基础 ,并 
且 是 第 一 个 应 用 于 在 非 保 护 信道 创建 共享 密 钥 的 方法 。 


15.1.1 Diffie-Hellman 密 钥 交 换算 法 基础 


在 Diffie-Hellman 密 钥 交换 算法 中 ,首先 通信 双方 需 商 定 一 个 素数 p 和 素数 p 的 本 原 
根 (或 本 原 元 )g。 素 数 p 的 本 原 根 是 一 个 整数 g ,这 个 整数 g ERE p 可 以 产生 1 到 p 一 1 
之 间 的 所 有 整数 , 即 
gmod p.g’mod p.-.g” mod p 
各 不 相同 ,其 结果 是 1 到 p 一 1 的 一 个 置换 。 
示例 15-1 设 素数 一 7, 试 判断 2 是 否 是 素数 p 的 本 原 根 。 
解 H p=7 计算 : 
2! = 2 =2 mod7, 2?=4=4mod7, 2 = 8= 1 mod 7 
2t —16-22 mod 7, 2° — 3224 mod7, 2*— 64 = 1 mod 7 
因此 ,2 不 是 素数 7 的 本 原 根 。 
示例 15-2. 设 素数 2 一 7, 试 判断 3 是 否 是 素数 p 的 本 原 根 。 
解 th p=7it#: 
38) =3=3mod7, 3?=9=2mod7, 3°: = 27 = 6 mod 7 
3‘ = 81 24 mod 7, 3° = 243Ξ 5 mod 7, 3° = 729 = 1 mod 7 
因此 ,3 是 素数 7 的 本 原 根 。 
一 个 素数 可 能 有 一 个 以 上 的 本 原 根 , 例 如 素数 19 的 本 原 根 有 2,3,10,13,14,15。 
本 原 根 的 查找 是 Diffie-Hellman 密 钥 交 换算 法 的 一 个 重要 组 成 部 分 ,测试 一 个 整数 
g 是 否 是 素数 p 的 本 原 根 可 以 采用 如 下 方法 : 
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D 计算 所 有 p—1 的 素 因子 qi ,qs ,…,g,。 
(2) 对 所 有 素 因 子 a ,q ,… q, 计算 : 
g^ "mod p 

(3) 如 果 所 有 的 计算 结果 都 不 为 1, 则 g 为 素数 p 的 本 原 根 ,如 果 某 个 q 的 计算 结果 为 
1, 则 g 不 是 素数 p 的 本 原 根 。 

示例 15-3 KAM p 二 13,p 一 1 二 12 的 素 因 子 是 2 和 3, 测试 2 和 3 是 否 是 一 个 本 

解 2 了 2mod 13=12, 20379/5 mod 13—3 
计算 结果 没有 1, 因 此 2 是 素数 13 的 本 原 根 。 

同样 计算 : 

gar D^ mod 13 — 1; 30377/5mod 13 = 3 
由 于 计算 结果 中 有 1, 因 此 3 不 是 素数 13 的 本 原 根 。 

在 判断 g 是 否 是 素数 p 的 本 原 根 的 过 程 中 ,需要 找到 p — 1 所 有 可 能 的 素 因子 ,寻找 
p 一 1 所 有 可 能 的 素 因 子 可 以 采用 最 简单 的 寻找 方法 , 即 从 2 到 Vp 一 1 逐个 测试 每 个 数 是 否 
是 素数 ,这 种 测试 方法 的 测试 效率 比较 低 ,比较 好 的 寻找 方法 是 埃 拉 托 色 尼 筛 选 法 (Sieve of 
Eratosthenes) 。 

埃 拉 托 色 尼 组 选 法 筛选 素数 的 过 程 为 : 

(1) 创建 待 测 整数 序列 , 待 测 整数 序列 为 2,3,4,…,n。 

(2) 设 第 一 个 数 为 4 且 等 于 2, 这 个 数 为 素数 。 

(3) 从 gq 开始 ,每 次 递增 g, 并 做 标记 ,这 个 递增 序列 为 q,2g,3q,… ,而 gq 本 身 不 做 标记 。 

(Ὁ 寻找 下 一 个 大 于 g 且 未 作 标 记 的 数 , 并 重新 记 作 gq, 重 复 第 (3) 步 的 操作 ,直到 所 有 
待 测 数 处 理 完毕 。 

(5) 所 有 未 作 标记 的 数 都 是 素数 。 

在 获得 所 有 可 能 的 素 因 子 之 后 ,通过 判断 是 否 是 p — 1 的 因子 就 可 获得 所 有 p 一 1 的 素 
WT. 


15.1.2 Diffie-Hellman 密 钥 交换 算法 计算 过 程 


假设 通信 双方 分 别 为 A 和 B, 那 么 ,Diffie-Hellman 算法 首先 由 A AB 双方 协商 一 个 大 
素数 p ΙΡ 的 本 原 根 g ,这 两 个 整数 并 不 一 定 要 求 是 秘密 的 ,可 以 通过 不 安全 的 信道 进行 
协商 。 然 后 ,通过 下 列 步骤 来 计算 密 钥 : 

(D A 方 首先 选择 一 个 大 的 随机 整数 xz,1 三 x 三 p 一 2, 计 算 铸 ==g*mod p. Ife X 发 送 
给 BB 方 。 

(2) B 方 也 选择 一 个 大 的 随机 整数 y,1 三 y 三 p 一 2, 计 算 Y==g*mod p, 并 将 Y 发 送 
BAT. 

(3) A 方 计算 K,=Y* mod p. EHH. 

(4) B 方 计算 Ky =X’ mod p .作为 密 钥 。 

因为 站 =(g*)*==g” 二 (g*)? 二 X?, 所 以 ,A 方 和 B 方 得 到 的 密 钥 是 相同 的 。 由 于 双方 
选择 的 zx 和 y 是 保密 ,如 果 攻 击 方 想 获得 密 钥 K, 它 就 面临 去 解 离散 对 数 X = g" mod p 或 
Y=g’mod p 的 难题 。 
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A,B 双方 密 钥 生成 通信 的 基本 模式 如 图 15-1 所 示 。 


y 


Y-g'mod p 


Ky-X'mod p 


图 15-1 Diffie-Hellman 密 钥 交换 基本 模式 


示例 15-4 ” 设 双方 选 定 素数 p — 23 ,并 选择 本 原 根 g 二 11, 通 信 中 的 A 方 选择 的 整数 为 
ZX 二 8,B 方 选择 的 整数 为 y= 二 12, 试 计算 双方 的 共享 密 钥 。 

解 a) A 方 计算 X=g*mod p=11' mod 23 一 8, 并 将 X 发 送 给 B. 

(2) B 方 计算 Y=g*mod p=11" mod 23 二 12, 并 将 Y 发 送 给 A. 

(3) A 方 计算 K,=Y* mod p=12 mod 23 一 8, 得 到 共享 密 钥 。 

(4) B 方 计算 K,— X? mod p=8" mod 23 一 8, 得 到 共享 密 钥 , 并 有 K,=Ky. 

Diffie-Hellman 算法 同样 可 以 用 在 三 方 或 三 方 以 上 的 密 钥 协商 ,假设 通信 的 三 方 分 别 
为 A,B,C, 那 么 ,A,B,C 三 方 的 共享 密 钥 的 生成 过 程 如 下 : 

CD 通信 三 方 首先 商定 一 个 大 素数 p 和 素数 p 的 本 原 根 g 作为 公共 参数 。 

(2) A 方 选 择 一 个 大 的 随机 整数 z, 1a p —2. 1 X= g mod p.f X 发 送 给 


BY. 
(3) B 方 选择 一 个 大 的 随机 整数 y,1 三 y 三 p 一 2, 计 算 Y=g*mod p, 并 将 Y 发 送 给 
CH. 
(4) C iki 4 KAY BALK Moz. 1 Rp — 2. Z= g mod p, 并 将 Z 发 送 给 
A 方 。 
(5) A 方 计算 Z =Z mod p, 并 将 2Z' 发 送 给 B 方 。 
(6) B 方 计算 X= 二 XYmod p, 并 将 X' 发 送 给 CH. 
(7) C 方 计算 Y' 2Y* mod p JMi Y RZA A 方 。 
(8) A 方 计算 K. =Y" mod p. 
(9) B 方 计算 K, =Z'”mod p. 
(10) C 方 计算 K.=X"mod p. 
A,B,C 三 方 密 钥 生成 通信 的 基本 模式 如 图 15-2 所 示 。 
示例 15-5 设 三 方 选 定 素数 p 二 23, 并 选择 本 原 根 g 二 11, 通 信 中 的 A 方 选择 的 整数 为 
Zz 三 10,B 方 选择 的 整数 为 y= 二 13,C 方 选择 的 整数 为 -===17, 试 计算 三 方 的 共享 密 钥 。 

f (D A 计算 X=g*mod p=11" mod 23 一 2, 并 将 X 发 送 给 B. 

(2) BJrit $$ Y — g?mod p=11!šmod 23 一 17, 并 将 Y 发 送 给 C. 

(3) C 方 计算 Z=g*mod p—11" mod 23 二 14, 并 将 Z 发 送 给 A. 

(4) A Jrit Z —Z' mod p=14" mod 23 一 18, 并 将 Z' 发 送 给 B. 

(5) B 方 计算 X' = X* mod p=2" mod 23 一 4, 并 将 X' 发 送 给 C. 

(6) C 方 计算 Y’=Y*mod p=17" mod 23 一 11 ,并 将 Y RZA A. 
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Sp 
X-g'modp 


X-—Ymodp 


K,-Z *mod p 


Ξ.8.Ρ 
Z=g'mod p 


Y-Ymodp 


K.=X' *mod p 


图 1552 三方 密 钥 生 成 通信 模式 


C) A 方 计算 K,—Y'* mod p=11" mod 23 一 2。 

(8) B 方 计算 Ky=Z’ mod p=18"% mod 23—2, 

(9) C 方 计算 K.— X’ mod p—4" mod 23=2. 

多 人 Diffie-Hellman 密 钥 交换 模式 和 上 述 过 程 类 似 , 仅 增加 了 计算 的 轮 数 。 


15.2| Diffie-Hellman 算法 实现 


Diffie-Hellman 算法 通过 Diffie Hellman 类 来 实现 ,Diffie_Hellman 类 主要 完成 生成 素 
因子 列表 、 生 成 本 原 根 .计算 交换 数据 .计算 密 钥 等 ,同时 还 包括 一 些 辅助 的 功能 ,如 : 生成 
素数 、 寡 模 运 算 等 。 在 本 示例 中 的 实现 过 程 主要 为 了 解释 Diffie-Hellman 算法 的 实现 方法 ， 


具体 使 用 只 需 进 行 一 定 改造 即 可 。Diffie_Hellman 类 的 基本 组 成 见 图 15-3。 
在 Diffie Hellman 类 中 重 定义 了 两 种 数据 类 型 如 下 : 


typedef unsigned long long int word64; 


typedef unsigned int word32; 

Diffie Hellman 类 的 声明 见 程序 清单 15-1. 
程序 清单 15-1 

0l class Diffie Hellman 

a { 

03 public: 

04 bool isPrime (word2 n); 

05 void getPrimeList () ; 

06 void genPrime () ; 

07 void getBase () ; 

08 void display(); 

09 void setX(); 

10 void setY(); 


11 void setG(); 
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15 

Diffie_Hellman 
- vPrime : yector<word32> 
- vBase _ : vector<word32> 
-p : word32 
-x : word32 
-y : word32 
-A : word32 
-B : word32 
- KeyA :word32 
- KeyB :word32 
-g : word32 
+ isPrime (word32 n) : bool 
* getPrimeList () : void 
+ genPrime () : void 
+ getBase () : void 
+ display 0 : void 
+ setX() : void 
+ setY() : void 
+ setG() : void. 
* calcA() : void 
+ calcB () : void 
+ calcKeyA () : void. 
* calcKeyB () : void 
+ expMod (word32 x, word32 y, word32 p) : word32 


图 15-3 Diffie Hellman 类 的 基本 组 成 


12 void calcA(); 

B void calcB(); 

14 void calcKeyA () ; 

15 void calcKeyB() ; 

16 word32 expMod (word 32 x,word32 y,word32 p); 
好 Private: 

18 vector< word32> vPrime; 
19 vector« word32» vBase; 
20 word32 p; 

a word32 x,y; 

2 word32 A,B; 

B word32 KeyA, KeyB; 

24 word32 g; 

25 pu 


在 Diffie Hellman 类 中 各 成 员 变 量 的 作用 如 下 : 


° vPrime 一 一 数据 类 型 为 向 量 , 用 于 存储 p 一 1 的 素 因 子 。 
* vBase 数据 类 型 为 向 量 , 用 于 存储 素数 p 的 本 原 根 。 


。 p 一 一 用 于 计算 密 钥 用 的 素数 。 
。 x,y 一 一 通信 双方 各 自选 取 的 整数 ,1 二 x,y 三 p 一 2。 


° A,B 一 一 通信 双方 通过 g,x,y Al p 计算 获得 的 变量 ,发 送 给 对 方 ,用 于 计算 密 钥 。 


。 KeyA ,KeyB 一 一 通信 双方 计算 获得 的 密 钥 ,KeyA 和 KeyB 


结果 应 相同 。 
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g 一 一 用 于 计算 密 钥 的 本 原 根 。 


在 Diffie Hellman 类 中 各 成 员 函 数 的 作用 如 下 : 


isPrime() 函数 参数 为 word32 型 数据 ,函数 作用 为 判断 函数 参数 是 否 为 素数 。 
getPrimeList() 一 一 获得 p 一 1 的 素 因 子 列表 。 
用 于 生成 素数 p。 

getBase() 通过 素 因 子 列 表 获 得 p 的 本 原 根 。 
display() 一 一 用 于 显示 计算 结果 。 
setX() 一 一 用 于 设置 通信 A 方 的 秘密 整数 。 
setY() 一 一 用 于 设置 通信 B 方 的 秘密 整数 。 
setG() 一 一 用 于 设置 本 原 根 。 
calcA() 一 一 用 于 计算 A 方 传递 给 B 方 的 参数 。 
calcB() 一 一 用 于 计算 B 方 传递 给 A 方 的 参数 。 
calcKeyA() 一 一 用 于 计算 A 方 的 密 钥 。 
calcKeyB() 一 一 用 于 计算 B 方 的 密 钥 。 

expMod() 一 一 竹 模 运算 。 


genPrime() 


示例 用 于 计算 32 位 的 通信 密 钥 ,计算 过 程 包括 : 生成 素数 p、 生 成 本 原 根 g 和 计算 双方 
通信 密 钥 等 几 部 分 组 成 。 


15.2.1 生成 素数 p 


素数 p 的 生成 通过 函数 genPrime() 来 完成 ,其 实现 的 过 程 是 通过 生成 32 位 随机 数 , 然 
后 判断 其 是 否 为 素数 , 若 不 是 素数 , 则 重新 生成 32 位 随机 数 , 直 到 获得 所 需 的 随机 数 。 函 数 
的 具体 代码 见 程序 清单 15-2 。 

程序 清单 15-2 


01 
02 


03 
04 
05 
06 


void Diffie Hellman: :genPrime() 
{ 
srand (time (0)) ; 
while (1) 
{ 
P= rand () &OxFEFF; 
p<<=16; 
Pl= rand () &OxFFEF; 
if (isPrime (p)) 
t 
break; 
} 


32 位 随机 数 的 生成 方法 是 : 先生 成 16 位 的 随机 数 ,然后 左 移 16 位 ,再 与 后 生成 的 
16 位 随机 数 进行 “或 ?运算 ,得 到 32 位 的 随机 数 。 在 得 到 32 位 随机 数 之 后 ,判断 生成 的 随 
机 数 是 否 为 素数 , 若 不 是 , 则 重新 生成 素数 ,直到 得 到 所 需 的 素数 结束 。 在 生成 素数 的 过 程 


15.2 Diffie-Hellman 算法 实现 


中 用 到 素性 判断 函数 isPrime O ,素数 检测 的 方法 可 以 采用 RSA 算法 中 的 millerRabin $£ 
法 ,具体 实现 方法 可 以 参考 程序 清单 14-27, 


15.2.2 本 原 根 的 生成 


本 原 根 的 生成 通过 两 步 完成 ,第 一 步 是 获得 p 一 1 的 所 有 的 素 因子 ,第 二 步 是 获得 所 有 
的 本 原 根 。 获 取 所 有 素 因子 是 通过 函数 getPrimeList() 函数 来 完成 ,函数 getPrimeList() 的 
详细 代码 见 程序 清单 15-3。 

程序 清单 15-3 

Ol void Diffie Hellman: :getPrimeList () 

αἱ 


03 vPrime.clear(); 

04 vPrime.push back (2) ; 

05 word32 temp-p- 1; 

06 word i; 

07 for(i-2;i«p;it*) 

08 { 

09 while (temp&i- - 0) 

10 { 

1l temp- temp/i; 

12 if (i> vPrime[vPrime.size()- 1]) 
13 { 

14 vPrime.push back(i); 
15 } 

16 j 

17 if (temp< i) 

18 { 

19 break; 

20 } 

21 ) 

2 ) 


素 因 子 生成 的 方法 是 以 埃 拉 托 色 尼 筛选 法 为 基础 进行 改造 ,将 获得 的 素 因子 存储 到 向 
Ht vPrime。 为 了 方便 存储 素 因 子 ,首先 将 2 存放 到 向 量 vPrime 中 ,为 避免 将 重复 的 素 因子 
存放 到 向 量 vPrime, 在 处 理 素 因子 的 过 程 中 , 当 找 到 一 个 素 因 子 就 与 向 量 vPrime 中 的 最 后 
一 个 元 素 比较 , 若 大 于 向 量 vPrime 中 的 最 后 一 个 元 素 , 就 将 该 素 因子 存储 到 向 量 vPrime 
中 ,和 否则 就 不 处 理 ,具体 见 代 码 行 的 第 11 行 到 第 16 行 代码 。 同 时 ,为 避免 多 余 的 运算 , 当 变 
量 用 于 查找 素 因子 的 临时 变量 temp 小 于 可 能 的 素 因 子 i 时 查找 过 程 结 束 。 

在 获取 所 有 的 素 因子 之 后 ,就 需要 在 素 因 子 中 找到 本 原 根 ,判断 查找 本 原 根 的 任务 由 函 
数 getBase() 来 完成 ,函数 getBase() 的 具体 代码 见 程序 清单 15-4。 


程序 清单 15-4 


0l void Diffie Hellman: :getBase () 
e ( 
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03 vBase.clear(); 

04 word2 i,j; 

05 bool bBase- true; 

06 for (i= 0;i< vPrime.size();i*- ) 

07 { 

08 bBase= true; 

09 for (j= 0;j< vPrime.size() ;* + ) 
10 { 

n if (exod (vPrime[i], (p- 1) /vPrime[j],p)== 1) 
12 { 

13 bBase= false; 

14 continue; 

15 } 

16 } 

17 if (bBase== true) 

18 { 

19 vBase.push back (vPrime[i]) ; 
20 ) 

21 } 

2 } 


代码 行 的 第 11 行 到 第 15 行 用 来 判断 是 否 是 素数 p 的 本 原 根 , 若 不 是 素数 p 的 本 原 根 
就 对 下 一 个 素 因 子 进 行 判断 ,若是 就 存储 到 本 原 根 向 量 vBase。 在 本 原 根 的 查找 过 程 中 用 
到 了 圭 模 运算 函数 expMod() ,该 函数 的 详细 代码 见 程序 清单 15-5. 


程序 清单 15-5 
Ol word32 Diffie Hellman: :expMod (word32 x,word32 y,word32 p) 
a í 
03 word32 result= 1; 
04 while (y) 
05 { 
06 if (y&l) 
07 t 
08 result- (word64 (result) * x)&p; 
09 } 
10 y»-1; 
u x= (worded (x) * x) Sp; 
12 } 
13 return result; 
14 ] 
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32 位 的 整数 ,在 运算 过 程 中 需要 注意 中 间 结 果 的 溢出 问题 ,代码 行 的 第 8 行 和 第 11 行 都 使 
用 了 word64 来 转换 中 间 结 果 ,防止 中 间 结 果 的 溢出 。 
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15.2.3 BAAR 


根据 计算 所 得 的 本 原 根 g 和 生成 的 素数 p ,通信 双方 各 自选 择 相应 的 整数 ,并 计算 出 密 
钥 所 需 的 参数 ,发 送 给 对 方 。 本 原 根 根据 本 原 根 的 计算 结果 进行 选择 ,本 原 根 的 选择 通过 
setG() 函 数 来 完成 ,setG() 函 数 的 详细 代码 见 程 序 清单 15-6 。 


程序 清单 15-6 
0l void Diffie Hellman::setG() 
0 { 
03 word i; 
04 cout<< "The generators are:"«« endl; 
05 for (i= 0;i< vBase.size();it+ +) 
06 { 
07 cout«« " ("<< i«« ") "<< vBase[i]<< endl; 
08 ) 
09 word32 select; 
10 cout<< "Input the nunber of prime factors: "; 
11 while (cin>> select) 
12 t 
13 if (select> =0 && select« vBase.size()) 
14 { 
15 g= vBase [select]; 
16 break; 
17 ) 
18 cout<< "Reinput the number: "; 
19 } 
2 } 


本 原 根 的 选择 过 程 是 首先 列 出 备 选 的 本 原 根 ,然后 根据 用 户 的 选择 确定 具体 使 用 哪个 
本 原 根 , 当 选择 的 本 原 根 的 索引 出 错时 ,重新 进行 选择 。 

在 完成 本 原 根 的 选择 之 后 ,就 需要 确定 通信 双方 各 自 的 秘密 数 , 各 自 秘密 数 确定 的 函数 
分 别 为 setX() 和 setYO ,setX() 函 数 的 详细 代码 见 程序 清单 15-7。 


程序 清单 15-7 
ΟΙ void Diffie Hellman::setX() 
a { 
03 cout<< "Input the secret number of X(2~ "<< (p- 2)««") :"; 
04 while(cin»» x) 
05 t 
06 ifGo-2 && x= (p- 2)) 
07 { 
08 break; 
09 H 
10 else 


n { 
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12 cout<< "The nurber is out of ranger, reinput:"; 
B } 

14 } 

15 } 


通信 双方 的 秘密 数 的 选择 需要 考虑 所 选 数 的 范围 , 若 选 择 超出 范围 , 则 重新 进行 选择 ， 
若 选择 在 合理 范围 内 , 则 选择 结束 。 
set Y O 函数 的 实现 方法 与 setX() 的 实现 方法 相同 ,具体 代码 见 程序 清单 15-8。 


程序 清单 15-8 
OL void Diffie Hellman: :setY() 
o { 
03 cout<< "Input the secret number of Y(2~ "<< (p- 2)<<"):"7 
04 while(cin»» y) 
05 { 
06 if(y>=2 && y= (p- 2) 
07 { 
08 break; 
09 } 
10 else 
1l 1 
12 cout<< "The nurber is out of ranger, reinput:"; 
13 ) 
14 } 
15 } 


set Y O RAŽU qta AY TE RE IG setXO 函数 相同 。 
在 完成 选择 各 自 秘密 数 的 选择 之 后 ,计算 出 最 终 计 算 密 钥 所 需 的 参数 ,其 计算 过 程 分 别 
由 函数 calcA() 和 函数 calcB() 来 完成 ,calcAO 〇 函数 的 具体 代码 见 程 序 清单 15-9。 
程序 清单 15-9 
Ol void Diffie Hellman::calcA() 
a2 { 
03 Be exgiod (g, X, p) 7 
04 } 
calcBO PR BCH EL [C85 DL BEF TA 15-10, 
程序 清单 15-10 
Ol void Diffie Hellman::calcB() 
oet 
03 B= excMod (g, y,p) ; 
0 } 
函数 calcA() 和 函数 calcB() 的 实现 仅 调用 了 寡 模 函数 ,在 完成 计算 密 钥 所 需 的 参数 之 
后 ,就 可 以 计算 密 钥 ,通信 双方 的 密 钥 分 别 通过 函数 calcKeyA() 和 函数 calcKeyBO 3538. PK 


数 calcKeyA() 的 详细 代码 见 程序 清单 15-11 。 

程序 清单 15-11 

Ol void Diffie Hellman: :calcKeyA() 

et 

03 KeyA= exrMod (B, x, p) ; 

04 1 

calcKeyBO PBC HI VE ALII BL BEE TE 15-12. 
程序 清单 15-12 


void Diffie Hellman::calcKeyB() 
{ 

KeyB- expMod (A, y,p) ; 
} 


PARK calcKeyAQ Al PARK caleK ey BO AY SE FAB Se: 8] AWE R OK σὲ Ë THP HP 21918 


信 双 方 所 需 的 密 钥 ,并 且 , 双 方 的 密 钥 是 相同 的 。 
15.2.4 Diffie-Hellman 算法 测试 


Diffie-Hellman 算法 测试 通过 编写 一 测试 函数 来 完成 ,测试 函数 的 具体 代码 见 程 序 清 


单 15-13。 
程序 清单 15-13 
0l void test() 
a í 
03 Diffie Hellman diffie; 
04 diffie.genPrime(); 
05 diffie.getPrimelist(); 
06 diffie.getBase(); 
07 diffie.setG(); 
08 diffie.setX(); 
09 diffie.setY(); 
10 diffie.calcA(); 
u diffie.calcB(); 
12 diffie.calcKeyA (); 
B diffie.calcKeyB() ; 
14 diffie.display(); 
35, 1 


测试 函数 的 实现 过 程 中 需要 注意 类 的 各 个 成 员 函 数 的 调用 顺序 ,在 计算 完成 后 通过 调 
用 Diffie Hellman 类 的 成 员 函 数 display() 来 显示 各 部 分 的 计算 结果 ,函数 display() 的 详细 


代码 见 程序 清单 15-14。 
程序 清单 15-14 


0l void Diffie Hellman: :display() 


15.2 Diffie-Hellman 算法 实现 : 
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02 
03 cout<< "The Prime is: 0x"«« hex«« p<< endl; 

04 cout<< "The generator is: 0x"<< hex«« g<< endl; 

05 cout<< "The secret number of A is: Ox"«« hex«« x<< endl; 
06 cout<< "The secret number of B is: Ox"«« hex<< y<< endl; 
06 cout«« "The result of Key A is: Ox"«« hex«« KeyA<< endl; 
07 cout<< "The result of Key B is: Ox"«« hex«« KeyB<< endl; 


具体 测试 可 以 通过 主 函 数 main() 来 驱动 ,测试 结果 如 下 : 


The generators are: 

(0) 3 

(1) 23 

Input the number of prime factors: 1 

Input the secret number of X(2~ 630156989) :98546 
Input the secret number of Y (2~ 630156989) :78524 
The Prime is: Ox258f6ebf 

The generator is: Ox17 

The secret number of A is: Ox180f2 

The secret nuber of B is: 0x132bc 

The result of Key A is: Oxld8d6deo 

The result of Key B is: Oxld8dédeo 


各 测试 结果 以 十 六 进 制 的 方式 进行 。 

本 示例 的 主要 目的 是 为 了 解释 Diffie-Hellman 算法 的 计算 方法 ,具体 应 用 时 需 进 行 适 
当 的 改变 ,例如 ,示例 中 的 素数 的 选择 是 通过 随机 的 方法 生成 ,而 实际 应 用 则 可 以 在 生成 所 
需 的 素数 之 后 ,在 计算 过 程 中 通过 其 他 方式 来 读 取 该 素数 ,另外 , 密 钥 计算 是 在 一 个 程序 中 
完成 ,而 实际 应 用 中 是 双方 计算 各 自 的 密 钥 ,再 利用 计算 所 得 的 密 钥 进 行 通信 ,而 不 是 在 一 
起 计算 密 钥 。 


15.3 习题 与 实践 题 


15.3.1 习题 


1. 假设 素数 p= 二 13, 试 判断 3 是 否 是 p 的 本 原 根 。 

2. 简要 说 明 Diffie-Hellman 密 钥 交换 算法 的 基本 原理 。 

3. 假设 通信 双 发 选择 Diffie-Hellman 算法 ,并 设 双方 选 定 素数 p= 二 23, 并 选择 本 原 根 g= 
11 ,通信 中 的 A 方 选择 的 整数 为 + 二 7,B 方 选择 的 整数 为 y* 一 9, 试 计算 双方 的 共享 密 钥 。 


15.3.2 ERR 


参考 15.2 节 的 Diffie Hellman 密 钥 交换 的 算法 的 实现 过 程 ,编程 实现 Diffie-Hellman 
密 钥 交换 算法 。 要 求 : 使 用 数组 或 指针 形式 处 理 相 关 数 据 。 


Elgaral 加 密 算法 


Elgamal 算法 是 由 Taher Elgamal 于 1984 年 提出 的 算法 ,Elgamal 算法 共有 两 部 分 组 
成 ,Elgamal 加 密 算法 和 Elgamal 数字 签名 算法 ,Elgamal 算法 的 基础 是 Diffie-Hellman 算 
法 ,其 安全 性 主要 依赖 于 计算 有 限 域 上 离散 对 数 这 一 难题 。 目 前 该 算法 主要 应 用 于 PGP Bh 
议 ,在 本 章 中 主要 介绍 Elgamal 加 密 算法 。 


16.1| Elgamal 加 密 算 法 原理 


Elgamal 公 钥 加 密 算法 主要 由 三 部 分 组 成 : 密 钥 的 生成 .加密 算 法 和 解密 算法 。 

密 钥 生成 

Elgamal 公 钥 加 密 算法 的 密 钥 包括 公 钥 和 私 钥 两 部 分 ,假设 通信 中 的 A 方 负责 计算 密 
钥 , 其 他 方 使 用 密 钥 ,A 方 生成 密 钥 的 过 程 如 下 : 

(1) 生成 随机 大 素数 p 以 及 p 的 本 原 根 5 。 

(2) 随机 选择 私 钥 x. 1<2<p—2, 

(3) 计算 y=g" mod p. 

计算 得 到 的 公 钥 为 (p,g,y), 私 钥 为 x。 

加 密 

假设 B 要 与 A 方 进行 通信 ,B 所 要 加 密 的 明文 为 m, 并 使 用 Elgamal 加 密 算法 ,那么 ,B 
方 执行 的 操作 如 下 : 

(1) 从 A 方 获 得 加 密 所 需 的 公 钥 (p,g,y)。 

(2) 将 明文 m 转换 为 整 型 数据 ,其 范围 在 0 一 /一 1 之 间 。 

G) 选择 一 随机 数 &,1<k<p 一 2。 

(4) 计算 a=g*mod p Filb=my‘mod p. 

(5) 发 送 密 文 c= 二 (a,6b) 给 A. 

解密 

Ἢ A 接收 到 从 B 发 送 的 密 文 之 后 , 需 对 密 文 进行 解密 ,解密 的 过 程 如 下 : 

A) 使 用 私 钥 x ἠΓΉΗ armod p=a “mod p=g “mod p. 

(2) 通过 计算 m= (a *)b mod p. 

ESRB EY RB (a )b=g-* my! =g *mg" =m(mod p). 
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示例 16-1 假设 A.B 双方 进行 通信 ,通信 过 程 由 A 方 确定 密 钥 ,A 方 选择 的 素数 p= 
23 ,选择 的 本 原 根 g 王 11, 选 择 的 私 钥 z+ 二 9,B 方 加 密 时 选择 的 & 二 17,B 方 待 加 密 的 明文 为 
19, 试 给 出 A.B 双方 进行 通信 的 详细 过 程 。 
解 p—23,.g=11,z=7, 
A 方 计算 密 钥 : 
y = g^ mod p = 11 mod 23 = 19 
得 到 公 钥 为 (p,g,y) 二 (23,11,19), 私 钥 为 7, 将 公 钥 发 送 给 B 方 ,A 方 保存 私 钥 , 待 解密 时 
使 用 。 
B 方 利用 公 钥 进行 加 密 , 计 算 : 
a = g'mod p = 11" mod 23 = 14 
All 
b = my'mod p = 19 X 19" mod 23 = 8 
将 计算 结果 c= (a0) — (14,8) BIKA AT. 
A 方 收 到 B 方 发 送 的 密 文 c 后 ,对 密 文 c MEAT AE AE YS OU om EE 
a’**mod p = 1431 modp=11 
和 
m = a *b mod p = 11 X 8 mod 23 = 19 
得 到 明文 m — 19. 
Elgamal 加 密 算 法 主要 在 两 方面 有 较 多 应 用 ,第 一 个 应 用 是 直接 对 明文 进行 加 密 , 当 直 
接 对 明文 加 密 时 ,加 密 后 的 密 文 得 到 较 大 扩展 ,使 密 文 与 明文 相 比 成 倍 扩大 。Elgamal 加 密 
算法 的 第 二 个 应 用 是 用 于 对 称 密 钥 的 加 密 , 当 通信 双方 使 用 对 称 加 密 算法 进行 加 密 时 ,为 防 
止 攻击 方 在 信道 中 窃取 密码 , 故 采用 Elgamal 加 密 算法 对 密 钥 进 行 加 密 , 在 传递 给 对 方 以 确 
保 对 称 密 钥 的 安全 。 


16.2 Elgamal 加 密 算 法 实现 


Elgamal 加 密 算法 的 实现 采用 模拟 双方 进行 加 密 通 信 的 过 程 进行 实现 ,假设 通信 双方 
分 别 为 A 和 B, 由 A 来 生成 公 钥 。 算法 实现 共 分 为 三 部 分 ,由 A 完成 的 部 分 包括 密 钥 的 生 
成 和 解密 ,由 B 来 完成 的 部 分 为 加 密 部 分 ,算法 测试 由 A,B 两 部 分 共同 进行 。 


16.2.1 密 钥 的 生成 与 解密 的 实现 


密 钥 的 生成 与 解密 由 通信 方 中 的 A 方 来 完成 ,在 示例 中 是 通过 ElgamalA 类 来 实现 相 
关 的 功能 , 公 钥 与 私 钥 都 在 32 位 的 范围 内 ,重点 在 于 揭示 Elgamal 算法 的 基本 实现 方法 , 若 
采用 更 高 位 数 来 实现 ,只 需 使 用 第 14 章 的 大 数 运算 ,并 根据 Elgamal 算法 具体 应 用 即 可 。 
为 方便 使 用 ,相关 的 数据 类 型 进行 重新 定义 ,具体 如 下 : 

typedef unsigned int word32; 

typedef unsigned long long int wordé4; 


word64 型 数据 主要 用 于 处 理 计算 过 程 中 的 中 间 结 果 , 以 防止 中 间 结 果 的 溢出 。 


ElgamalA 类 的 基本 结构 如 图 16-1 所 示 。 
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图 16-1 ElgamalA 类 的 基本 结构 


ElgamalA 类 的 具体 声明 见 程序 清单 16-1。 
程序 清单 16-1 


Ol class FlgamalA 

a { 

03 public: 

04 ElgamalA(; 

05 void genPrime() ; 

06 void genBase () ; 

07 bool isPrime (word p); 
08 void getPrime () ; 

09 void setPrivateKey () ; 
10 word32 exrMod (word32 x,word32 y,word32 p); 
11 void setPubKey () ; 

12 void decryption () ; 

13 void run(); 

14 void instruction (); 

M private: 

16 word32 cipherTextA, cipherTextB; 
17 word32 decipherText; 

18 word32 p; 

19 word32 g; 

20 word32 x,y; 

ay 


ElgamalA 类 中 的 各 成 员 变量 的 作用 如 下 : 


HgamalA 
- cipherTextA : word32 
- cipherTextB  : word32 
- decipherText : word32 
-p : word32 
-g : word32 
-x : word32 
-y : word32 
+ FlgamalA () 
+ genPrime () : void 
* genBase() : void 
* isPrime (word32 p) : bool 
* getPrime() : void 
+ setPrivateKey ( ) : void 
+ expMod (word32 x, word32 y, word32 p) : word 32 
+ setPubKey ( ) : void 
+ getPubKey ( ) : void 
+ decryption ( ) : void 
* run() : void 
+ instruction() : void 
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用 于 存储 B 方 发 送 过 来 的 两 个 加 密 后 数据 ,用 于 解密 。 
存储 cipherTextA 和 cipherTextB 解密 后 的 数据 。 


cipherTextA .cipherTextB 


decipherText 


p 一 一 公 钥 中 的 素数 。 
g 一 一 素数 p 的 本 原 根 。 
x 一 一 私 钥 。 


y 一 一 通过 g.p.x 计算 后 获得 的 公 铀 。 


(p,g,y) 为 计算 后 需 公 布 或 发 送 给 B 方 的 公 钥 。 
ElgamalA 类 中 的 各 成 员 函 数 的 作用 如 下 : 


ElgamalA() 一 一 构造 函数 ,用 于 初始 化 各 成 员 变量 。 


genPrime() 用 于 生成 公 钥 中 的 素数 p. 
genBase() 用 于 计算 并 选择 素数 p 的 本 原 根 。 
isPrime() 用 于 判断 相应 的 参数 是 否 是 素数 。 
getPrime() 从 文件 获取 已 生成 的 素数 。 


setPrivateKey() 一 一 设置 A 方 的 私 钥 。 
expMod OO — E Biz $$. 
setPubKey() 一 一 输出 公 钥 到 文件 。 

用 于 解密 从 B 方 传递 过 来 的 密 文 。 
run() 一 一 用 于 测试 运行 。 

instruction() 一 一 用 于 提示 操作 内 容 。 


decryption() 


16.2.1.Ι BAEK 


ElgamalA 类 中 密 钥 的 生成 包括 两 部 分 : 公 钥 的 生成 和 私 钥 的 生成 。 公 钥 和 私 钥 生成 
的 基本 过 程 为 : 先生 成 公 钥 中 的 素数 p, 再 生成 公 钥 中 素数 p 的 本 原 根 g ,然后 根据 素数 


b OKAKOBUR B] c ,最 后 计算 公 钥 中 的 最 后 一 个 参数 y。 
获取 素数 


素数 的 获得 有 两 种 方法 ,一 种 是 通过 随机 数 来 生成 , 另 一 种 是 直接 通过 文件 来 获得 已 经 
生成 的 素数 ,直接 获得 素数 的 函数 为 getPrime() , getPrime O 函数 的 详细 代码 见 程 序 清 


单 16-2。 
程序 清单 16-2 
Ol void ElgamalA: :getPrime () 
2 { 
03 ifstream primeIn ("prime.txt"); 
04 primeIn>> hex>> p; 
05 } 


从 文件 获得 素数 的 方法 是 直接 从 文件 流 读 取 已 保存 的 素数 ,在 函数 中 直接 声明 了 文件 
流 变 量 ,使 用 这 种 方法 来 声明 是 为 了 方便 理解 ,也 可 以 通过 声明 类 中 的 私有 变量 ,并 通过 构 


造 函 数 初 始 化 的 方法 来 处 理 ,后续 的 文件 处 理 均 采用 在 相应 函数 中 直接 声明 和 处 理 。 


如 果 不 采 用 文件 读 取 素 数 的 方法 来 获得 素数 ,那么 ,可 以 采用 直接 生成 素数 的 方法 来 生 
成 所 需 的 素数 ,完成 这 一 功能 的 函数 为 genPrime O ,该 函数 是 通过 生成 随机 数 的 方法 来 生 
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成 素数 , genPrime() 函数 与 Diffie-Hellman 中 的 素数 生成 方法 一 样 , 具 体 可 参考 程序 清 
单 15-2 来 实现 ,只 需 将 函数 名 称 改 为 void ElgamalA::genPrime() 即 可 。 

在 素数 生成 完毕 后 ,同样 将 素数 保存 到 “prime. txt” 的 文件 , 当 需 要 时 可 以 直接 从 该 文 
件 中 获得 素数 。 

在 素数 生成 过 程 中 使 用 到 函数 isPrime() 来 判断 随机 生成 的 32 位 数 是 否 是 素数 ， 
isPrime() 函 数 与 Diffie-Hellman 中 isPrime() 函 数 的 实现 方法 相同 ,同样 可 参考 RSA 算法 
中 的 程序 清单 14-27 来 实现 。 

计算 本 原 根 

在 获取 相应 的 素数 之 后 需 计算 素数 p 的 本 原 根 g, 本 原 根 g 的 计算 通过 函数 genBase() 来 
完成 ,genBase() 的 详细 代码 见 程序 清单 16-3。 


程序 清单 16-3 
Ol void ElgamalA: :genBase () 
0e ( 
03 vector« word32» vPrimeList; 
04 vPrimelist.push back (2); 
05 word32 temp=p- 1; 
06 word32 i,j; 
07 for(i-2;i«p;iit*) 
08 t 
09 while (temp$i-- 0) 
10 { 
1 tenp= temp/i; 
12 if (i> vPrimeList [vPrimeList.size()- 11) 
B { 
14 vPrimeList.push back (i); 
15 } 
16 if (temp< i) 
17 { 
18 break; 
19 } 
20 } 
2 } 
22 vector« word32> vBase; 
23 bool bBase- true; 
24 for (i= 0;i< vPrimelist.size();i*-) 
25 t 
26 LbBase- true; 
21 for (j= 0;j« vPrimeList.size();j++) 
28 { 
2 if(exMod (vPrimeList [i], (p- 1) /vPrimetást [j],p)- - 1) 
3 I 
3d bBase- false; 
32 continue; 
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33 } 

34 } 

35 if(bBase-- true) 

36 { 

37 vBase.push back (vPrimeList [i]); 
38 } 

39 } 

40 cout<< "Select g fram the list:"<< endl; 
41 for (i= 0;i< vBase.size();i++) 

42 { 

43 Cout<< i«« ". "<< vBase[i]<< endl; 
44 } 

45 word32 select; 

46 cout<< "Input your choice: "; 

47 while (cin>> select) 

48 { 

49 if (select> = 0 && select« vBase.size()) 
50 I 

51 g= vBase [select]; 

52 break; 

53 } 

54 cout<< "Reinput your choice: "; 

55 ) 

56 ) 

本 原 根 通过 以 下 过 程 获得 : 


(1) 生成 素 因 子 列表 : 代码 行 的 第 7 行 到 第 21 行为 生成 pb 一 1 的 素 因 子 列表 。 

(2) 生成 本 原 根 列 表 : 代码 行 的 第 24 行 到 第 39 行为 根据 素 因子 列表 生成 本 原 根 列表 。 

(3) 选择 本 原 根 : 代码 行 的 第 40 行 到 第 55 行为 用 户 根据 本 原 根 列表 选择 本 原 根 。 

在 计算 本 原 根 的 过 程 中 使 用 了 函数 expMod O iE fT IER IZ «οχρΜοά 函数 的 实现 方法 
与 Diffie-Hellman "P ff] fiie $5 PR 38 expMod() 完 全 相同 ,具体 实现 可 参考 Diffie-Hellman 
中 的 实现 方法 。 

获取 私 钥 

在 生成 本 原 根 之 后 可 以 通过 用 户 输入 来 获得 私 钥 x, 获 取 私 钥 通 过 setPrivateKey O PR 
数 来 完成 ,setPrivateKey() 函 数 的 详细 代码 见 程 序 清单 16-4。 


程序 清单 16-4 
Ol void ElgamalA: :setPrivateKey () 
03 while(1) 
04 
05 cout«« "Input your private key(l- "<< (p- 2)«« ") :"; 
06 


cim»x; 
07 if(<=111 > (p-2) 
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08 t 

09 cout<< "Out of range, reinput!"<< endl; 
10 } 

n else 

12 { 

B break; 

14 } 

15 } 


16 ofstream prikeyOut ("priKey.txt") ; 

17 prikeyOut<< x; 

18 } 

获取 私 钥 函 数 个 功能 为 : 根据 用 户 输入 判断 是 否 在 合理 的 范围 内 , 若 在 合理 的 范围 内 ， 
则 输入 结束 ,并 将 私 钥 保存 到 文件 “priKey. txt”, 和 否则 提示 用 户 重新 输入 私 钥 。 

公 钥 参数 设置 

公 钥 参数 设置 通过 函数 setPubKey() 来 实现 ,函数 的 详细 代码 见 程序 清单 16-5. 

程序 清单 16-5 

Ol void ElgamalA: :setPubKey () 

a ( 

03 y-expeod(g,x, p) ; 

04 ofstream pubKeyOut ("pubKey. txt") ; 

05 pubKeyout«« p«« " "<< gcc " "<< y; 

06 } 

函数 功能 为 计算 公 钥 的 最 后 一 个 参数 y, 在 计算 完成 后 将 公 钥 保存 到 文件 “pubKey. 
txt”, 公 钥 既 用 于 B 方 加 密 文 件 时 使 用 ,也 用 于 A 方 在 获得 文件 后 解密 文件 使 用 。 


16.2.1.2 解密 算法 实现 


ElgamalA 类 中 的 另 一 个 主要 功能 是 解密 , 当 从 B 方 获取 经 过 加 密 的 密 文 时 , 需 使 用 相 
关 的 解密 函数 进行 解密 ,解密 函数 为 decryption() ,其 功能 为 分 别 对 加 密 后 的 两 个 密 文 进行 
解密 ,decryption() 函 数 的 具体 代码 见 程 序 清单 16-6 。 


程序 清单 16-6 
Ol void ElgamalA: :decryption () 
a { 
03 ifstream cipherTextIn ("cipherText.txt") ; 
04 ifstream pubKeyIn ("pubKey. txt") ; 
05 ifstream priKeyIn ("priKey.txt") ; 
06 cipherTextIn»» cipherTextA>> cipherTextB; 
07 pubKeyIn»» p> g>> y; 
08 prikeyIn>> x; 


09 word32 temp- expMod (cipherTextA, (p- 1- x),p); 
10 decipherText- (word64 (temp) * cipherTextB) èp; 
nu cout<< "cipherTextA= "<< cipherTextA«« endl; 
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2 cout«« "cipherTextB= "<< cipherTextB<< endl; 
B cout<< "decipherText= "<< decipherText<< endl; 
M) 


在 解密 过 程 中 ,首先 从 相关 的 文件 中 读 取 公 钥 、 私 钥 和 密 文 , 密 文 存放 在 “cipherText. 
txt” 文 件 中 ,各 文件 流 声明 见 第 3 行 到 第 5 行 代码 ,然后 利用 解密 方法 对 密 文 进行 解密 , 获 
得 还 原 后 的 明文 。 


16.2.2 加密 的 实现 


加 密 过 程 主要 由 B 方 来 完成 ,在 算法 实现 中 是 通过 ElgamalB 类 来 完成 相应 的 功能 ， 
ElgamalB 类 的 基本 结构 如 图 16-2 所 示 。 


HgamalB 

- m :word32 

- a :word32 

- b :word32 

- p :word32 

- g :word32 

- y :word32 

- k :word32 

+ ged (int n, int k) zint 
+ expMod (word32 x, word32 y, word32 p) : word32 
+ getPubKey () : wid 
+ getK() : void. 
+ getPlainText () : void 
+ encryption () : wid 
+ run() : void 


图 16-2 ElgamalB 类 的 基本 结构 


ElgamalB 类 的 数据 处 理 方 法 与 ElgamalA 类 的 数据 处 理 方 法 相同 ,同样 使 用 word32 
和 word64 两 种 数据 类 型 来 处 理 数据 ,ElgamalB 类 的 具体 声明 见 程序 清单 16-7。 


程序 清单 16-7 
0l class ElgamalB 
a2 { 
03 public: 
04 int god(int n,int k); 
05 word32 expMod (word32 x,word32 y,word32 p); 
06 void getPubKey () ; 
07 void getK() ; 
08 void getPlainText () ; 
09 void encryption () ; 
10 void run(); 
11 private: 
12 word32 m; 
13 word2 a,b; 


14 word2 p,g,y; 


16.2 Elgamal 加 密 算法 实现 268. 


15 word3 k; 

16 y 

ElgamalB 类 中 的 各 成 员 变 量 的 作用 如 下 : 
«πὶ 用 于 存储 明文 数据 。 


° a,b 一 一 用 于 存储 对 明文 m 进行 加 密 后 的 数据 。 

° p,g'y 一 一 加 密 算法 中 的 公 钥 。 

。 上 一 一 加 密 时 选用 的 参数 。 

ElgamalB 类 中 的 各 成 员 函 数 的 作用 如 下 : 

。 gcd() 一 一 欧 几 里 得 函数 。 

° expMod() 一 一 窜 模 运算 函数 。 

。 getPubKey() 一 一 获取 公 钥 函数 。 

。 getK() 一 一 获取 加 密 用 的 参数 。 

° getPlainText() 一 一 获取 明文 用 的 函数 。 

* encryption() 一 一 加 密 函 数 。 

* run() 一 一 运行 测试 函数 。 

在 进行 加 密 之 前 ,首先 需要 获得 公 钥 (p,g,y) 以 及 加 密 用 的 参数 k, 然 后 获取 明文 ,再 利 
用 加 密 函 数 进行 加 密 。 

获取 公 铀 

获取 公 钥 通过 函数 get PubKey() 来 实现 , getPubKey (} PA RCA AK (C [5 IL fe JF Wi 
单 16-8。 

程序 清单 16-8 


Ol void ElgamalB: :getPubKey () 

0 { 

03 ifstream keyIn ("pubKey.txt") ; 

04 keyIn>> p> g>> y; 

05 } 

公 钥 通过 文件 “pubKey. txt” 获 得 ,具体 实现 是 通过 文件 输入 流 完成 。 

加 密 参 数 设 置 

加 密 参 数 设 置 通过 函数 getKO 来 完成 ,getKO 〇 函数 的 具体 代码 见 程序 清单 16-9。 
程序 清单 16-9 


Ol void ElgamalB: :getK() 


2 { 

03 cout<< "Input your private key:"; 

04 while (cin>> k) 

05 { 

06 ifQop-11l k=) 

07 { 

08 cout«« "Reinput your private key (1) :"; 
09 continue; 
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10 li 

1 if(god(p- 1911) 

12 { 

13 cout«« "Reinput your private key (2) :"; 
14 continue; 

15 } 

16 break; 

17 y 

18 ] 


加 密 参 数 根据 加 密 参 数 的 具体 要 求 进行 设置 , 若 不 满足 加 密 参 数 的 要 求 ,提示 用 户 重新 
输入 相关 参数 ,在 获得 加 密 参 数 中 需 使 用 欧 几 里 得 函数 gcd() 进 行 判 断 ,gcd() 函 数 的 详细 
代码 见 程序 清单 16-10。 


程序 清单 16-10 
Ol int ElgamalB::god(int η, int k) 
0 { 
03 if(n-- 0) 
04 t 
05 return k; 
06 ) 
07 if(k-- 0) 
08 t 
09 return n; 
10 } 
11 return god (k, n&k) ; 
12 } 
获取 明文 


明文 通过 文件 获得 ,具体 实现 通过 了 晴 数 getPlainText() EIR , getPlainText() PR BAY AL 
体 代 码 见 程序 清单 16-11。 


程序 清单 16-11 
Ol void ElgamalB: :getPlainText () 
2 { 
03 ifstream plainTextIn ("plainText txt") ; 
04 while (plainTextIn»» πὴ 
05 t 
06 if(m»p-1) 
07 { 
08 cout«« "File is too long!"; 
09 continue; 
10 $ 
n break; 
19 } 
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明文 从 文件 “plainText. txt” 获 得 ,在 Elgamal 加 密 算 法 中 ,要 求 明文 的 大 小 要 小 于 p. 
因此 需 对 明文 的 大 小 进行 判断 , 若 不 符合 要 求 , 需 重新 进行 处 理 。 
me 
加 密 通 过 加 密 函 数 encryption() SIE , encryption O 函数 的 具体 代码 见 程序 清单 16-12。 
程序 清单 16-12 


Ol void ElgamalB: :encryption() 


e { 

03 ofstream cipherOut ("cipherText txt"); 
04 a=exrMod(g,k,p) ; 

05 word32 temp; 

06 temp= expMod (y, kp) ; 


07 b= (word64 (temp) * m) $p; 
08 cipherOut«« a«« " "«« b; 
09 } 


加 密 过 程 根据 Elgamal 算法 分 两 步 完 成 ,在 完成 加 密 后 ,将 加 密 后 的 数据 a AL b 输出 到 
文件 “cipherText. txt”, HE A 方 解密 使 用 。 
16.2.3 算法 测试 


Elgamal 加 密 算 法 测试 可 以 通过 ElgamalA 类 与 ElgamalB 类 联合 执行 来 完成 ,在 本 示例 
中 ,ElgamalA 类 与 ElgamalB 类 分 别 在 两 个 不 同 的 项 目 中 实现 ,各 自 实现 各 自 的 功能 ， 
ElgamalA 类 通过 run() 函 数 来 执行 密 钥 生 成 和 解密 ,run() 函 数 的 具体 代码 见 程序 清单 16-13。 


程序 清单 16-13 


Ol void ElgamalA::run() 


0e { 

03 int select; 

04 instruction() ; 

05 while (cin>> select) 

06 { 

07 switch (select) 

08 { 

09 case 0: 

10 exit (0)7 

n case 1: 

12 genPrime () ; 
13 break; 

14 case 2: 

15 getPrime(); 
16 break; 

17 case 3: 


18 genBase 0; 
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19 break; 

20 case 4: 

a setPrivateKey () 
2 break; 

23 case 5: 

24 setPubkey () ; 
25 break; 

26 case 6: 

2] decryption(); 
28 break; 

29 default: 

30 break; 

3 H 

2 instruction ()7 

33 } 

3 } 


在 run() 函 数 中 通过 变量 select 来 确定 执行 什么 操作 , 若 第 一 次 运行 , 则 需要 先生 成 素 
数 pb, 然后 计算 本 原 根 g, 再 获取 私 钥 x, 最 后 计算 公 钥 g, 在 获得 密 文 后 可 以 进行 解密 操作 。 
在 run O PR ἀκ ΠΠ fili H] Y AX instruction(). instruction O pA ULJE HE 7ης PRB. A AS [8] H9 i& 
项 执行 的 是 什么 操作 。 

在 ElgamalA 类 完成 密 钥 生成 之 后 ,ElgamalB 就 可 以 执行 相应 的 测试 ,ElgamalB 也 是 
运行 run() 函数 进行 测试 ,ElgamalB 的 run() 函 数 的 具体 代码 见 程 序 清单 16-14。 


程序 清单 16-14 
Ol void ElgamalB::run() 
a2 { 
03 getPubKey () ; 
04 cout<< "p= "<< p«« endl; 
05 cout<< "g= "<< g<< endl; 
06 cout<< "y= "<< y<< endl; 
07 getKQ; 
08 cout<< "k= "<< k«« endl; 
09 getPlainfext () ; 
10 cout<< "m= "<< m<< endl; 
u encryption (); 
12 cout<< "a= "<< a<< endl; 
13 cout<< "b= "<< b<< endl; 
14 } 


ElgamalB 的 run() 函 数 执行 获得 加 密 用 密 钥 、 明 文 等 ,然后 使 用 encryption O 函数 对 明 
文 进行 加 密 , 并 将 加 密 后 的 数据 保存 到 文件 。 

在 得 到 ElgamalB 加 密 后 的 数据 之 后 ,就 可 以 使 用 ElgamalA 的 解密 函数 进行 解密 ,从 
而 完成 整个 测试 工作 。 


16.3 ”习题 与 实践 题 


A 方 测试 结果 为 


E 
i 


Generate a prime (p) . 
Get a prime(p) fram file. 
Create generator. 
Create private key. 
Create public key. 
Decryption. 

Your selection:6 
cipherTextA- 52970692 
cipherTextB- 354765644 
decipherTexb= 1234562 
Now the parameters are: 
p=916673803 

g-2 

x=66666 

y=376022059 


B 方 测试 结果 为 


SY i i i qe. 


p= 916673803 
σ-2 

y= 376022059 

Input your private key:376 
Reinput your private key (2) :377 
k= 377 

me 1234562 

a= 52970692 

b= 354165644 


其 中 ,B 方 的 明文 m 与 A 方 脱 密 后 的 内 容 decipherText 相同 。 


16.3 习题 与 实践 题 


16.3.1 习题 


1. 简要 说 明 Elgamal 加 密 算 法 的 基本 原理 。 

2. 假设 A.B 双方 进行 通信 ,并 使 用 Elgamal 加 密 算法 ,通信 过 程 由 A 方 确定 密 钥 ,A 
方 选择 的 素数 p 二 23, 选 择 的 本 原 根 g 二 11, 选 择 的 私 钥 z 二 7,B 方 加 密 时 选择 的 k= 二 13,B 
方 待 加 密 的 明文 为 15, 试 给 出 A,B 双方 进行 通信 的 详细 过 程 。 


16.3.2 ”实践 题 


参考 16. 2 节 的 相关 内 容 , 编 程 完成 Elgamal 加 密 算 法 ,要 求 : 使 用 一 个 程序 来 完成 
Elgamal 加 密 算 法 ,并 在 程序 中 能 演示 Elgamal 加 密 算法 。 
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散 列 函数 


散 列 函 数 又 称 为 哈 希 函数 (Hash Function), 它 的 主要 作用 是 把 任意 长 度 的 输入 
通过 散 列 算法 变换 成 固定 长 度 的 输出 ,这 个 输出 被 称 为 散 列 值 或 哈 希 值 。 散 列 
值 的 长 度 要 远 远 小 于 输入 的 长 度 , 散 列 函数 就 是 一 种 将 任意 长 度 的 消息 压缩 到 
某 一 固定 长 度 的 消息 摘要 的 函数 。 

在 信息 安全 领域 中 ,比较 常用 的 散 列 算法 包括 MD4.MD5 和 SHA1 等 ,MD5 和 
SHA1 算 法 都 是 以 MD4 算 法 为 基础 设计 的 ,以 MD4 为 基础 的 一 系列 散 列 算法 有 时 
RA MD4 系 列 算法 ,在 这 一 部 分 中 ,主要 介绍 MD4 系 列 算法 以 及 该 系列 算法 的 
实现 方法 。 


WD4 算 法 与 D5 算法 


MD4 算法 是 由 MIT 的 Ronald L. Rivest 于 1990 年 设计 的 散 列 算法 ,MD 是 Message 
Digest 的 缩写 , 即 消息 摘要 。MD4 算法 适用 于 在 32 位 的 处 理 器 上 使 用 软件 高 速 实现 ,主要 
在 32 位 的 操作 系统 上 实现 ,也 是 后 续 许 多 散 列 函 数 的 基础 , MD5、SHA-1 算法 都 是 以 MD4 
算法 为 基础 发 展 而 来 ,对 MD4 算法 的 理解 能 有 效 帮助 理解 MD5 和 SHA-1 等 算法 。 由 于 
ΜΠ! 算法 在 安全 性 上 存在 一 定 的 缺陷 ,目前 MD4 算法 已 经 较 少 使 用 。MD5 算法 是 在 
MD4 算法 的 基础 上 进行 了 相应 的 改进 ,在 文件 的 完整 性 检验 等 方面 有 着 广泛 的 应 用 。 
MD5 算法 与 MD4 算法 在 很 大 程度 上 相似 ,因此 ,将 MD5 算法 与 MD4 算法 在 一 章 内 
介绍 。 


17.1] 散 列 算法 基础 


17.1.1 散 列 算法 的 基本 概念 


散 列 函数 可 以 通过 以 下 形式 的 函数 定义 : 
h = H(M) (7-1) 

六 代表 散 列 值 或 消息 摘要 (Message Digest) «M 代表 需 计 算 散 列 值 的 消息 、 文 件 或 其 他 输 
入 。 散 列 值 通常 需要 提供 检查 错误 的 能 力 , 因 此 , 散 列 值 一 般 是 消息 M. 所 有 位 的 函数 ,消息 
中 的 任何 一 位 发 生变 化 都 将 导致 散 列 值 发 生变 化 。 

在 一 般 情况 下 ,无 论 输入 的 消息 长 度 是 多 长 ,通过 散 列 算法 计算 得 到 的 消息 摘要 或 散 列 
值 的 长 度 都 是 固定 的 ,例如 ,MD5 算法 输出 的 消息 摘要 长 度 为 128 位 ,而 SHA-1 算法 的 消 
息 摘要 的 输出 长 度 为 160 位 。 

散 列 函数 的 基本 工作 原理 如 图 17-1 所 示 。 

输入 消息 摘要 


散 列 函 数 AO1C BCD3 3EF1 147F 
散 列 函数 C671 A0C2 D3F1 D456 


Attack 散 列 函数 1C2F 3D4E 125C 6B80 


图 17-1 散 列 函数 的 基本 工作 原理 
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散 列 函数 在 信息 安全 领域 中 主要 应 用 在 完整 性 检测 和 数字 签名 中 , 散 列 函数 在 不 同 的 
应 用 中 又 有 不 同 的 名 称 , 当 它 应 用 于 将 任意 长 度 的 输入 产生 固定 的 输出 时 被 称 为 压缩 
(compression) 函数 , 当 用 于 鉴别 数据 是 否 被 自 改 时 又 被 称 为 数据 鉴别 码 (Data 
Authetication Code,DAC) 或 算 改 鉴别 码 (Manipulation Detection Code, MDC)。 对 于 某 一 
种 具体 的 散 列 算法 ,不 同 长 度 的 输入 所 产生 的 输出 长 度 是 相同 的 。 

一 个 可 用 的 散 列 函数 需 具备 以 下 基本 性 质 : 

CD 对 于 给 定 的 消息 需 易于 计算 其 散 列 值 , 即 已 知 M, 很 容易 通过 软件 或 硬件 计算 得 到 
h=H(M). 

(2) 计算 == 昌 CM) 得 到 的 散 列 值 的 长 度 是 相同 的 。 

(3) 如 果 消 息 被 改变 ,那么 ,其 散 列 值 不 发 生变 化 是 不 可 能 的 。 即 两 个 不 同 的 消息 不 可 
能 计算 得 到 相同 的 散 列 值 。 

(4) 如 果 使 用 同一 个 散 列 算法 的 两 个 散 列 值 是 不 相同 的 ,那么 ,这 两 个 散 列 值 的 原始 消 
息 也 是 不 相同 的 。 

一 个 可 用 的 散 列 函数 除了 满足 上 述 的 基本 性 质 以 外 ,在 计算 上 还 需要 满足 : 

CD 对 于 任何 给 定 的 散 列 值 ,找到 满足 HOM) =h fI M 在 计算 上 是 不 可 行 的 ,这 个 性 
质 也 称 为 单 向 性 ,满足 该 性 质 的 算法 也 被 称 为 单 向 散 列 算法 。 这 条 性 质 使 得 给 定 散 列 值 无 
法 计算 得 到 对 应 的 消息 。 

(2) 对 于 任何 给 定 的 消息 Mi ,找到 满足 MAM, HA HOM) =H(M,) ñ) M, 在 计算 
上 是 不 可 行 的 ,这 个 性 质 也 被 称 为 弱 无 碰撞 性 。 这 条 性 质 使 得 不 能 找到 散 列 值 相同 的 另 一 
条 消息 ,可 以 有 效 地 防止 伪造 。 

(3) 找到 任意 数据 对 CM Μι) ,并 满足 HOM, — HOM, ) 在 计算 上 是 不 可 行 的 ,这 个 性 
质 也 被 称 为 强 无 碰撞 性 。 这 条 性 质 使 得 生日 攻击 的 方法 无 法 奏效 。 

散 列 函 数 的 使 用 方法 比较 简单 , 散 列 算法 的 一 般 结 构 如 图 17-2 所 示 。 

YTO) N06) YLL-1)0) 


Cn b s. | -Ρ πι |. > FO cv An) 
CV) 


图 17-2 散 列 算法 的 一 般 结构 


CV (m) 


散 列 算法 通常 包括 位 初始 值 , 即 CV, .相应 的 散 列 函数 FO, 同时 有 固定 长 度 (5) 的 分 
组 输入 Y[ 避 ,最 后 一 轮 的 计算 结果 为 散 列 值 。 散 列 算法 也 可 以 表示 为 


CV, = IV 
CV; = F(CVa Yam), 1<i<L (17-2) 
H(M) = CV, 


输入 的 分 组 长 度 根据 不 同 的 散 列 算法 进行 填充 ,再 计算 相应 的 散 列 值 。 在 每 一 轮 的 计 
算 过 程 中 都 会 用 到 前 面 一 轮 计算 得 到 的 散 列 值 ,最 后 一 轮 计算 得 到 的 散 列 值 为 输入 消息 的 
散 列 值 。 
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17.1.2 散 列 算法 的 使 用 方法 


通过 散 列 算法 计算 获得 消息 摘要 ( 散 列 值 ) 可 用 于 消息 鉴别 ,例如 ,对 文件 进行 完整 性 鉴 
别 等 ,在 使 用 过 程 中 可 以 根据 用 途 选择 不 同 的 使 用 方法 ,典型 的 使 用 方法 共有 6 种 模式 。 

(1) 发 送 方 根据 消息 计算 消息 摘要 ,并 将 消息 摘要 附加 在 消息 后 面 ,然后 对 附加 消息 摘 
要 的 消息 进行 加 密 , 加 密 完成 后 再 进行 发 送 , 其 基本 使 用 模式 如 图 17-3 所 示 。 


图 17-3 消息 摘要 处 理 模 式 (1) 


发 送 方 传送 给 接收 方 的 数据 为 
A — BiE,[M || H(M)] 

接收 方 在 收 到 数据 之 后 ,对 数据 进行 解密 ,解密 之 后 将 消息 与 消息 摘要 分 离 , 然 后 对 明 
文 计算 消息 摘要 ,将 计算 得 到 的 详细 摘要 与 接收 到 的 消息 摘要 进行 比较 , 若 相同 则 表示 消息 
未 被 算 改 , 若 不 同 则 表示 消息 在 传递 过 程 中 被 自 改 。 采 用 这 种 模式 进行 消息 传递 时 使 用 的 
加 密 算法 为 对 称 加 密 算法 ,这 种 模式 既 包 含 了 消息 鉴别 ,也 包含 了 对 消息 的 加 密 。 

(2) 发 送 方 根据 消息 计算 消息 摘要 ,并 对 消息 摘要 进行 加 密 , 然 后 将 消息 摘要 附加 在 消 
息 的 后 面 ,发 送 给 接收 方 ,其 基本 使 用 模式 如 图 17-4 所 示 。 


4 B 


EHD] 


Ed Hn] 


图 17-4 消息 摘要 处 理 模式 (2) 


发 送 方 传送 给 接收 方 的 数据 为 
A> B:M || E,LH(M)] 

接收 方 在 收 到 数据 之 后 ,将 加 密 的 消息 摘要 和 消息 分 离 , 对 加 密 的 消息 摘要 进行 解密 ， 
获得 消息 摘要 ,并 计算 消息 的 消息 摘要 ,然后 与 解密 得 到 的 消息 摘要 进行 比较 , 若 两 者 相同 
则 表示 消息 未 被 算 改 ,车 不 相同 , 则 表示 消息 被 自 改 。 该 模式 使 用 的 加 密 方法 是 对 称 加 密 算 
法 ,其 主要 作用 是 提供 消息 的 真实 性 保护 。 

(3) 第 三 种 模式 与 第 二 种 模式 类 似 , 发 送 方 首先 根据 消息 计算 消息 摘要 ,然后 使 用 公 钥 
算法 中 的 私 钥 对 消息 摘要 进行 签名 ,再 将 签名 后 的 消息 摘要 附加 在 消息 的 后 面 ,发 送 给 接收 
方 , 其 基本 使 用 模式 如 图 17-5 所 示 。 

发 送 方 传送 给 接收 方 的 数据 为 
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δὲ 


Ej | FM] 


Eis LH] 


图 17-5 消息 摘要 处 理 模 式 (3) 


A —> B:M || Er [ HOVD] 

接收 方 在 收 到 数据 之 后 ,将 消息 与 经 过 签名 的 消息 摘要 分 离 , 使 用 公 钥 验证 签名 ,并 获 
得 消息 摘要 ,同时 ,重新 计算 消息 的 消息 摘要 ,并 与 原 消息 摘要 进行 比较 ,判断 消息 是 否 被 算 
改 。 使 用 这 种 方法 能 够 达到 两 个 目的 : 其 一 是 可 以 判断 消息 是 否 被 自 改 ,其 二 是 可 以 判断 
消息 是 否 是 来 自发 送 方 。 

(4) 第 四 种 模式 既 采 用 了 对 称 加 密 算法 ,也 采用 了 公 钥 加 密 算法 。 发 送 方 先 根据 消息 
计算 消息 摘要 ,然后 再 使 用 公 钥 加 密 算法 中 的 私 钥 对 消息 摘要 进行 加 密 , 将 加 密 后 的 消息 摘 
要 连接 到 消息 的 最 后 ,再 使 用 对 称 加 密 算法 的 密 钥 进行 加 密 , 最 后 将 加 密 完 的 数据 发 送 给 接 
收 方 ,其 基本 使 用 模式 如 图 17-6 所 示 。 


图 17-6 ”消息 摘要 处 理 模式 (4) 


发 送 方 传送 给 接收 方 的 数据 为 
A — B:E,[M || E [H(M)]] 

接收 方 在 接收 到 发 送 方 的 数据 后 , 先 使 用 对 称 加 密 算 法 的 密 钥 对 数据 进行 解密 ,然后 再 
分 离 出 消息 和 使 用 公 钥 加 密 算 法 加 密 的 消息 摘要 ,再 使 用 公 钥 加 密 消 息 摘要 ,同时 根据 消息 
计算 消息 摘要 ,最 后 判断 两 者 是 否 相 同 。 使 用 这 种 模式 既 提 供 了 对 消息 的 保密 ,又 提供 了 数 
字 签 名 ,是 一 种 比较 常用 的 模式 。 

(5) 这 种 模式 在 计算 散 列 值 之 前 先 将 双方 共享 秘密 值 连接 到 消息 之 后 ,将 计算 得 到 的 
消息 摘要 连接 到 消息 之 后 ,并 将 消息 摘要 连接 到 消息 最 后 再 将 完整 数据 发 送 给 接收 方 ,其 基 
本 使 用 模式 如 图 17-7 所 示 。 


HONS) 
图 17-7 消息 摘要 处 理 模 式 (5) 


17.2 MD4 算法 原理 


发 送 方 传送 给 接收 方 的 数据 为 
A—B: M||I H(M || 9 

接收 方 在 收 到 相应 数据 之 后 ,将 消息 摘要 与 消息 分 离 , 同 时 将 双方 共享 秘密 值 连接 到 消 
息 之 后 ,再 计算 消息 摘要 ,最 后 将 两 者 比较 ,判断 传递 的 消息 是 否 被 算 改 。 使 用 这 种 模式 由 
于 在 消息 的 后 面 连接 了 双方 共享 的 秘密 值 ,因此 ,攻击 方 无 法 算 改 截获 的 消息 ,也 不 能 伪造 
消息 。 

(6) 第 六 种 处 理 模式 是 在 第 五 种 处 理 模 式 基 础 上 改进 而 来 ,同样 使 用 双方 共享 秘密 
值 连接 到 消息 之 后 ,再 计算 消息 摘要 ,将 计算 得 到 的 消息 摘要 连接 到 消息 最 后 ,再 进行 加 
密 ,使 用 的 加 密 算法 为 对 称 加 密 算 法 ,再 将 加 密 后 的 数据 传送 给 接收 方 ,其 基本 使 用 模式 
如 图 17-8 所 示 。 


A ws Te 
FEALMITHMIS)] "mus 
图 17-8 消息 摘要 处 理 模式 (6) 


发 送 方 传 送 给 接收 方 的 数据 为 
A — BiE,[M || HOM || S)] 
接收 方 在 收 到 消息 之 后 ,对 收 到 的 数据 进行 加 密 , 分 离 消 息 和 消息 摘要 ,然后 将 双方 的 
秘密 值 连接 到 消息 之 后 ,再 重新 计算 消息 摘要 ,并 与 原先 得 到 的 消息 摘要 进行 比较 ,判断 得 
到 的 消息 是 否 被 自 改 。 


17.2! MD4 算法 原理 


MD4 算法 也 称 为 MD4 消息 摘要 算法 ,MD4 算法 的 输入 是 任意 长 度 的 消息 ,输出 是 128 位 
固定 长 度 的 消息 摘要 。 在 MD4 算法 中 ,两 个 不 同 的 消息 产生 相同 的 消息 摘要 在 计算 上 是 
不 可 能 的 ,同时 ,根据 消息 摘要 获得 消息 在 计算 上 也 是 不 可 能 的 。MD4 算法 的 设计 主要 用 
于 数字 签名 ,使 用 的 基本 方式 是 将 消息 通过 MD4 算法 计 
算 获 得 消息 摘要 ,然后 再 使 用 公 钥 算法 中 的 私 钥 对 消息 摘 
要 进行 加 密 , 并 将 消息 与 消息 摘要 以 一 定 方式 结合 发 送 给 
接收 方 。 

假设 所 需 处 理 的 消息 为 6 位 ,在 MD4 算法 中 需 满 足 
b20, H b 是 整 型 数据 ,其 中 心 可 以 为 0, 并 且 20 可 以 不 是 8 
的 倍数 ( 注 : ASCI 编码 中 每 个 字符 长 度 为 8 位 ),2 的 长 
度 可 以 是 满足 条 件 的 任意 位 数 。 用 m_i 来 表示 消息 的 每 
一 位 ,那么 ,0 位 的 消息 可 以 用 如 下 形式 表示 : 

m 0 m_l == m_{b—1} 


MD4 算法 的 计算 结构 如 图 17-9 所 示 。 图 中 ,下 表示 


图 17-9 MD4 算法 的 基本 结构 
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非 线 性 运算 ,每 轮 进行 16 次 相同 运算 ,运算 时 常量 不 同 ,在 每 轮 运 算 中 使 用 不 同 的 辅助 函数 
进行 运算 , 共 进 行 3 轮 运算 ,M; 表示 32 位 的 分 组 消息 ,K; 表示 32 位 的 常量 ,并 在 每 轮 运 算 
中 各 不 相同 ,“ <<< ”表示 循环 左 移 。 

MD4 算法 的 整体 计算 过 程 可 以 用 图 17-10 来 说 明 。 


消息 长 度 (64 位 ) 


128 位 128 位 
图 17-10 MD4 算法 计算 过 程 示 意图 


128 位 


MD4 消息 摘要 的 具体 计算 方法 可 以 通过 以 下 5 步 来 完成 。 

(1) 消息 填充 

对 需要 进行 消息 摘要 计算 的 消息 进行 填充 ,使 消息 的 长 度 符合 length 三 448mod512, 即 填 
充 后 的 消息 的 长 度 是 512 位 的 整数 倍 减 64 位 。 如 果 初 始 消 息 的 长 度 已 经 符合 length= 
448mod512, 也 需要 进行 填充 。 例 如 ,消息 的 长 度 正好 为 448 位 ,此 时 也 需要 进行 填充 ,填充 的 
长 度 为 512 位 ,此 时 填充 完 的 长 度 为 960 位 。 

填充 过 程 的 具体 方法 为 : 首先 在 消息 最 后 填充 “1”, 然 后 填充 “0”, 直 到 经 过 填充 后 的 
消息 满足 length=448mod512 时 结束 填充 。 总 之 ,填充 的 长 度 最 少 为 1 位 ,最 长 为 
512 位 。 

(2) 填充 长 度 

用 64 位 的 数据 来 填充 消息 b( 消 息 b 是 指 经 过 第 1 步 填 充 之 前 的 消息 ) 的 长 度 , 如 果 填 
充 后 的 消息 b 长 度 大 于 2” ,那么 取 其 低 2* 位 数据 。 即 所 包含 的 消息 是 对 填充 前 消息 的 长 
ERF 2 进行 取 模 的 结果 。 这 64 位 的 数据 是 填充 在 上 一 步 数 据 的 最 后 。 

通过 以 上 两 步 得 到 的 消息 的 长 度 正 好 是 512 位 的 整数 倍 。 如 果 用 32 位 的 字 (word) 来 
表示 ,那么 ,可 以 等 价 地 表示 为 ML[01…N 一 1], 其 中 NN 正好 是 16 的 整数 倍 。 

示例 17-1 设 有 二 进 制 格 式 的 输入 数据 如 下 : 

01100001 01100010 01100011 01100100 01100101 

试 按照 MD4 算法 对 数据 进行 填充 。 

解 首先 在 数据 最 后 填充 “1” 得 到 : 

01100001 01100010 01100011 01100100 01100101 1 

然后 对 数据 填充 “0” ,并 达到 448 位 结束 ,用 16 进 制 表示 如 下 : 


61626364 65800000 
00000000 00000000 
00000000 00000000 
00000000 00000000 


00000000 
00000000 
00000000 


00000000 
00000000 
00000000 


17.2 MD4 算法 原理 y A 


在 最 后 64 位 填充 数据 长 度 , 由 于 数据 长 度 为 40, 用 16 进 制 表示 则 为 28 ,因此 填充 的 结 


果 为 
61626364 65800000 
00000000 00000000 
00000000 00000000 
00000000 00000000 


(3) 初始 化 MD 缓冲 区 


00000000 
00000000 
00000000 
00000000 


00000000 
00000000 
00000000 
00000028 


在 计算 MD4 消息 摘要 时 需要 使 用 4 字 (word) 的 缓冲 (A,B,C,D),A,B,C,D 可 以 理解 


为 4 个 32 位 的 寄存 器 ,用 16 进 制 从 低位 开始 的 4 字 初 始 化 如 下 : 


word A: 01 23 45 67 
word B: 89 AB CD EF 
word C: FE DC BA 98 
word D: 76 54 32 10 


如 果 使 用 整数 形式 表示 , 则 4 字 初 始 化 的 16 进 制 结果 如 下 : 


P= 0x67452301 


(4) 以 16 个 字 (word) 的 方式 处 理 消息 
在 以 16 个 字 的 方式 处 理 消 息 时 需要 使 用 3 个 辅助 函数 ,这 3 个 辅助 函数 的 输入 都 是 3 


个 32 位 的 字 ,输出 都 是 1 个 32 位 的 字 , 这 3 个 辅助 函数 分 别 如 下 : 
F(X,Y,Z) = XY V not(X) Z 
G(X,Y,Z) = XY V XZ V YZ 
Η(Χ.Υ.2) = X xor Y xor Z 


在 F,G 和 万 的 运算 中 ,使 用 的 运算 是 按 位 进行 的 逻辑 运算 。XY 表示 X&Y, 以 此 类 


推 。 在 3 个 辅助 函数 的 基础 上 ,执行 以 下 伪 码 的 运算 : 


for i:=0 to N/16- 1 
for j:=0 to 15 


M[i * 16-3] :- XD] 


endfor 
ARA 
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/* (BCD ks] 的 操作 过 程 为 B= (A+ F(B,C,D)+X[k])<< <s. * / 
/* 执行 以 下 16 步 操作 * / 


[ABD 0 3 DAC 1 7 [AB 2 11) BOA 3 19] 

BED 4 3 DBC 5 7 [AB 6 11] BOA 7 19] 

ΠΒ 8 3 DBC 9 7 [RB 10 11] Bw 11 19] 

(ABCD 12 3 DABC 13 7 [0B 14 11] Bw 15 19] 
/x 第 2 轮 .x/ 


/* [ABCD k s] 的 操作 过 程 为 A= (At G(B,C, D) X[k]+ 0x5A827999)<< < s. * / 
/* 执行 以 下 16 步 操作 * / 


[ABCD 0 3 DBC 4 5] [CB 8 9] BA 12 13] 
[ABCD 1 3 DAC 5 5] [ΒΒ 9 9] BA 13 13] 
[ABCD 2 3 DBC 6 5] [CB 10 9] [ΒΑ 14 13] 
[ABCD 3 3 mec 7 5] [CB 19] [ΒΑ 15 13] 


/x 88 358. / 

/* (ABCD k s] 的 操作 过 程 为 A= (A+ H(B,C, D) € X[k]+ OxGEDGEBA) «« < s. x / 

/* 执行 以 下 16 步 操作 x / 
[ABCD 0 mec 8 9] [ŒB 4 11] BOA 12 15] 
[ABCD 2 mec 10 9] [CB 6 11] BOA 14 15] 
[ABCD 1 mec 9 9] (ORB 5 11] BOA 13 15] 
[ABCD 3 mec 11 9] [mB 7 11] BOA 15 15] 
ΛΔΕΛΓΛΑ 
B= Bt BB 


3 
3 
3 
3 


ccc 
D= D+ DD 
endfor 


在 执行 运算 过 程 中 使 用 了 两 个 32 位 的 常量 0x5A827999 和 0x6ED9EBA1。 在 三 轮 操 
作 过 程 中 分 别 使 用 了 FO) 函数.G() 函 数 和 HO 〇 函数, 且 每 一 轮 的 运算 方法 略 有 不 同 ,第 二 
轮 和 第 三 轮 运算 过 程 中 各 自 增 加 了 一 个 常量 。 

(5) 输出 

消息 摘要 的 输出 是 按照 ABCD 的 顺序 输出 ,输出 以 低位 A 作为 开始 ,以 高 位 D fE 
为 结束 。 


17.3. MD4 算法 实现 


MD4 算法 的 实现 过 程 主要 由 数据 初始 化 、 处 理 待 计算 数据 的 填充 、 计 算 哈 希 值 以 及 输 
出 显示 等 几 部 分 来 完成 。 


17.3.1 MD4 算法 实现 的 基本 结构 


本 示例 主要 为 解释 MD4 计算 哈 希 值 的 基本 过 程 ,数据 的 输入 直接 采用 字符 串 的 形式 ， 
然后 通过 读 取 字 符 串 来 进行 哈 希 值 的 计算 ,在 计算 过 程 中 由 于 大 量 使 用 unsigned int 型 数 
据 ,因此 ,将 其 重 定义 为 word32, 具 体 定义 如 下 : 
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typedef unsigned int word32; 


在 计算 过 程 中 需要 存储 相应 的 哈 希 值 、 判 断 待 计算 数据 的 长 度 和 计算 时 用 到 的 临时 数 
据 均 在 结构 体 Context 中 声明 ,结构 体 Context 的 具体 声明 如 下 : 


struct Context 
{ 
word32 state[4]; 
word32 count [2]; 
unsigned char buffer [64]; 
n 


在 结构 体 Context 中 ,变量 state[4] 用 来 存放 哈 希 值 ,变量 count[2] 用 来 存放 待 计算 哈 
希 值 的 数据 的 长 度 ,变量 buffer[L64] 用 来 存放 计算 计算 哈 希 值 时 用 到 的 临时 数据 。 
MD4 算法 的 完整 内 容 通过 MD4 类 来 实现 ,MD4 类 的 基本 结构 如 图 17-11 所 示 。 


MD4 
- Padding[64| : unsigned char 
+ MD40 
+ init (Context * context) : void 
+ F(word32 x, word32 y, word32 z) : word32 
+ G(word32 x, word32 y, word32 z) : word32 
+ H(word32 x, word32 y, word32 z) : word32 
+ FF (word32& a, word32 b, word32 c, word32 d, word32 x, word32s) — : void 
+ GG (word32& a, word32 b, word32 c, word32 d, word32 x. word32 s)  : void 
+ HH (word32& a, word32 b, word32 c, word32 d, word32 x, word32 s) :void 
+ rotate Left (word32 x, word32 n) : word32 
+ decode (word32* output, unsigned char* input, word32 len) :void 
+ encode (unsigned char* output, word32* input, word32 len) : void 
+ trans formHash (word32 state, unsigned char* block) :int 
* update (Context* context, unsigned char* input, word32 inputlen) : int 
* final (unsigned char* digest, Context* context) zint 
+ hashProcss (char* inputString) : int 
+ setBuffer (unsigned char* output, unsigned char* input, word32 len) : int 
+ setMem (unsigned char* output, int value, word32 len) tint 
* display (unsigned char* digest) zint 


图 17-11 MD4 类 的 基本 结构 


MD4 类 的 具体 声明 见 程 序 清单 17-1。 


程序 清单 17-1 
0l class MD4 
a { 
03 public: 
04 MD4(); 
05 void init (Context * context); 
06 word32 F (word32 x,word32 y,word32 z); 
07 word32 G(word32 x,word32 y,word32 z); 
08 word32 H (word32 x,word32 y,word32 z); 


09 void ΕΕ (word32 &a,word32 b,word32 c,word32 d,word32 x,word32 s); 
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10 void GG (word32 &a,word32 b,word32 c,word32 d,word32 x,word32 s); 

11 void HH (word32 &a,word32 Ὁ, word32 c,word32 d,word32 x,word32 s); 

12 word32 rotateleft (word32 x,word32 n); 

B void decode (word32 * output, unsigned char * input,word32 len); 

14 void encode (unsigned char * output,word32 * input,word32 len); 

15 void transformHash (word32 * state,unsigned char * block); 

16 void update (Context * context,unsigned char * input,word32 inputlen); 
17 void final(unsigned char* digest,Context * context); 

18 void hashProcss (char * inputString); 

19 void setBuffer (unsigned char * output,unsigned char * input,word32 len); 
20 void setMem(unsigned char * output, int value, word32 len); 

a void display (unsigned char* digest); 

2 private: 

23 unsigned char Padding [64] ; 


24 y 


MD4 类 中 的 成 员 变量 Padding[64] 用 于 填充 数据 ,其 初始 化 是 在 MD4 类 的 构造 函数 
中 进行 ,MD4 类 中 的 各 成 员 函 数 的 具体 作用 如 下 : 
* MD4() 一 一 构造 函数 ,用 于 初始 化 相关 成 员 变 量 。 
* init() 一 一 初始 化 函数 ,用 于 初始 化 计算 哈 希 值 的 相关 变量 。 
，FO、GO、HO 一 一 计算 哈 希 值 中 的 变换 函数 。 
* FFO.GGO HHO 一 一 计算 哈 希 值 中 的 变换 函数 。 
。 rotateLeft() 一 一 循环 左 移 函 数 。 
° decode() 一 一 编码 转换 函数 。 
* encode() 一 一 编码 转换 函数 。 
哈 希 值 计算 函数 。 
* updateO 计算 喻 希 值 用 的 辅助 函数 。 
* final() 一 一 处 理 哈 希 值 的 函数 。 
* hashProcssO 运行 哈 希 值 计算 的 函数 。 
。 setBuffer() 一 一 处 理 计算 哈 希 值 过 程 中 使 用 的 缓存 的 函数 。 
setMem() 一 一 哈 希 值 计算 过 程 中 变量 转换 的 函数 。 
。 display() 一 一 显示 最 终 哈 希 值 计算 结果 的 函数 。 


17.3.2 数据 初始 化 


MD4 类 的 数据 初始 化 分 别 由 两 个 函数 来 执行 ,其 一 是 构造 函数 , 男 一 个 是 初始 化 函数 ， 
构造 函数 MD4() 的 详细 代码 见 程序 清单 17-2。 


程序 清单 17-2 


* transformHash() 


for(i=1;i< jit +) 
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07 Padding[i]- 0; 


构造 函数 主要 用 于 填充 数据 的 初始 化 ,第 1 个 填充 数据 为 0x80, 见 代码 行 第 3 行 ,其 余 


填充 数据 均 为 0, 在 本 示例 中 填充 数据 采用 的 是 普通 变量 来 处 理 ,也 可 以 将 填充 数据 用 的 相 


另 一 个 初始 化 数据 用 的 函数 init() 的 详细 代码 见 程序 清单 17-3。 


0]= 0x67452301; 
1]= Oxefodab89; 
[2]= Ox98badcfe; 
3]= 0x10325476; 
0]-7 0; 
1-0; 


关 变 量 设 为 常量 。 
程序 清单 17-3 

01 void MD4::init (Context κ context) 
a { 

03 context- > state 
04 context- > state 
05 context- > state 
06 context- > state 
07 context- > count 
08 context- > count 
09 } 


init() 函 数 的 参数 为 结构 Context 类 型 ,init() 函数 主要 初始 化 计算 哈 希 值 用 的 变量 


state[ ] 和 长 度 变 量 count 


中 :而 结构 体 的 另 一 个 变量 buffer[ ] 并 没有 在 init O 函数 中 初始 


化 ,变量 buffer[ ] 在 每 次 使 用 中 需 单独 重新 赋值 ,因此 ,不 需要 在 初始 化 过 程 中 进行 复制 , 若 


要 对 变量 buffer[ HEITIR 
17.3.3 辅助 函数 的 
在 哈 希 值 的 计算 过 程 


值 , 只 需要 将 变量 buffer[] 中 的 各 个 元 素 的 值 设 为 0 即 可 。 
实现 
中 使 用 了 一 些 相 关 的 辅助 函数 ,包括 一 些 基 本 运算 函数 ,数据 转换 


函数 ,这 些 函 数 是 实现 哈 希 值 计算 过 程 的 一 些 基本 运算 和 基本 数据 转换 。 


在 每 一 轮 的 喻 希 值 的 


计算 过 程 中 都 会 使 用 到 变换 函数 FO)、GO 〇 和 HO PAR ix = 4 PH 


BUE MD4 算法 中 的 基本 函数 ,所 进行 的 运算 都 是 位 运算 ,实现 的 方法 都 比较 简单 。 
FO 函数 的 详细 实现 代码 见 程 序 清单 17-4。 


程序 清单 17-4 
01 
2 ( 
03 
04 


} 


word32 MD4: :F (word32 x,word32 y,word32 z) 


retum (((x) & (y) | (6 x) &(z))); 


FO 〇 函数 的 参数 和 返回 类 型 都 是 word32 型 ,函数 根据 相应 的 参数 进行 位 运算 ,然后 将 


相应 的 计算 结果 返回 。 


GO 〇 函数 的 详细 实现 代码 见 程序 清单 17-5。 


程序 清单 17-5 


OL word32 MD4::G(word32 x,word32 y,word32 z) 
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am { 
03 return (((x) & (y) (6)& (2))1 (Y) & (2); 
0 } 


GO δά ἅμ BB ΠΊΕ Al η FO 函数 相同 ,也 都 是 word32 型 ,同样 也 是 进行 相应 的 
位 运算 ,并 将 相应 的 计算 结果 返回 。 
HO 函数 的 详细 实现 代码 见 程 序 清单 17-6 。 


程序 清单 17-6 


word32 MD4: :H (word32 x,word32 y,word32 z) 
{ 

retum (()^(y)^(2)); 
) 


HO 函数 的 参数 和 返回 类 型 也 与 F() 函数 相同 ,也 都 是 word32 型 ,同样 也 是 进行 相应 
的 位 运算 ,并 将 相应 的 计算 结果 返回 。 

在 哈 希 值 的 计算 过 程 中 还 用 到 了 另外 三 个 基本 运算 函数 一 一 FF() 孙 数 .GG() 函 数 和 
HHO 〇 函数 ,这 三 个 函数 分 别 与 FO 〇 函数 ,G 函数 和 HO 函数 相对 应 ,并 以 这 三 个 函数 作为 
运算 的 基础 。 

FF() 函 数 的 详细 实现 代码 见 程序 清单 17-7。 


程序 清单 17-7 


OL void MD4: :FF (word32 &a,word32 b,word32 c,word32 d,word32 x,word32 s) 
e { 

03 at=F(b,c,d)+ x; 

04 a= rotateleft (a,s) ; 

05 } 


函数 的 参数 均 为 word32 型 数据 ,a,b,c,d 分 别 为 计算 哈 希 值 的 各 变量 ,每 个 为 32 位 ， 
FE 128 位 ,参数 a 使 用 的 是 引用 型 变量 ,计算 得 到 的 结果 自动 返回 。 参 数 x 和 s 为 每 轮 运 算 
过 程 中 的 变量 ,参数 s 实际 上 可 以 看 做 是 常量 。 在 计算 过 程 中 使 用 了 FO 函数 ,并 将 计算 结 
果 与 变量 x 的 值 相 加 ,然后 进行 循环 移 位 ,完成 一 轮 的 操作 。 

在 FF() 函 数 中 用 到 了 循环 左 移 函 数 rotateLeft O ,该 函数 实现 了 循环 左 移 的 功能 ， 
rotateLeft() 因数 的 详细 实现 代码 见 程序 清单 17-8。 


ΞΘ 8 Β 


程序 清单 17-8 
OL word32 MM::rotateleft (word32 x,word32 n) 
e { 
03 retum (((x)<< (n)) | ((x)>> (32- (n)))); 
04 } 


rotateLeft O 函数 的 参数 和 返回 值 都 是 word32 型 ,函数 的 第 1 个 参数 是 要 进行 循环 左 
移 的 变量 ,第 2 个 参数 是 所 要 进行 循环 左 移 的 量 ,循环 左 移 后 的 结果 作为 返回 值 。 
GG0O 〇 函数 的 详细 实现 代码 见 程 序 清单 17-9。 


17.3 MD4 算法 实现 


程序 清单 17-9 
ΟΙ void MD4::GG (word32 &a,word32 Ὁ, word32 c,word32 d,word32 x,word32 5) 
e { 
03 at=G(b,c,d)+ x+ 0x5A827999; 
04 a- rotateleft (8,5); 
0 } 


GGO PR RCE Sz LS FP EA GO 函数, 同时 还 用 了 常量 0x5A827999, μΧ 
义 与 FF() 函 数 相同 ,变量 a 也 是 引用 型 变量 ,计算 结果 也 是 自动 返回 ,在 计算 过 程 中 也 使 用 
T HEM Ze BS PAR rotateLeft() 。 

HHO PRA TEASE PICS πι, ΕΕ ΗΕ 17-10, 

程序 清单 17-10 
void MD4: :HH (word32 &a,word32 b, word32 c,word32 d,word32 x,word32 s) 
{ 


at =H (b,c,d)+ x+ OxGEDOEBA] ; 
a= rotateleft (a,s); 


982888 


) 


HHO PRAY EAT IE 5j GG() 函 数 类 似 ,在 计算 过 程 使 用 了 另 一 个 常量 0x6ED9EBA1， 
函数 参数 的 含义 与 GGO 〇 函数 相同 ,同样 也 使 用 了 循环 左 移 函 数 rotateLeftO 。 

以 上 六 个 函数 实现 了 MD4 算法 的 基本 运算 ,在 MD4 算法 的 实现 过 程 中 还 需要 在 
word32 型 数据 与 unsigned char 型 数据 之 间 互 相 转 化 ,转化 功能 通过 函数 decode() 和 函数 
encode() 来 实现 ,函数 decode() 的 详细 代码 见 程序 清单 17-11。 


程序 清单 17-11 
Ol void MD4: :decode (word32 * output,unsigned char * input,word32 len) 
a2 í 
03 word i,j; 
04 for(i-0,j- 0;j« len;i+ + ,j+=4) 
05 { 
06 output [i]- ( (word32) input [5]) | ( ( (word32) input [j+ 1])<< 8) 
07 | (((word32) input [j+ 2]) «« 16) | (((word32) input [j+ 3]) << 24) ; 
08 } 
09 } 


decode) 函数 的 参数 是 word32 指针 型 作为 输出 ,unsigned char 指针 型 作为 输入 ,同时 
还 有 word32 型 的 参数 ,该 参数 是 输入 数据 的 长 度 ,函数 的 功能 是 将 unsigned char 型 输入 数 
据 转化 为 word32 型 数据 ,其 实现 的 原理 如 图 17-12 所 示 。 

在 进行 移 位 之 前 需要 将 unsigned char 型 数据 强制 转化 为 word32 型 数据 ,在 转化 完成 
之 后 再 进行 移 位 操作 ,并 将 移 位 后 的 数据 进行 “或 ?运算 ,得 到 最 终 的 word32 型 数据 。 

encode() 函数 的 实现 过 程 正好 与 decode() 郴 数 的 实现 相反 ,encode() 函 数 的 详细 实现 
代码 见 程序 清单 17-12. 
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ut 


图 17-12 数据 转化 示意 图 


程序 清单 17-12 
Ol void MD4::encode (unsigned char * output,word32 * input,word32 len) 
o { 
03 word32 i,j; 
04 for (i= 0, j= 071 len;it + ,j+=4) 
05 { 
06 output [j]- (unsigned char) (input [1] &OxFF) ; 
07 output [j+ 1]- (unsigned char) (input [i]>> 880xFF) ; 
08 output [j+ 2]= (unsigned char) (input [i]>> 16&0xEF) ; 
09 output [j+ 3]= (unsigned char) (input [i]>> 24&0xFF) ; 
10 } 
1) 


encodeO JE EJ word32 型 数据 作为 输入 ,unsigned char 型 数据 作为 输出 。 每 次 的 运算 
过 程 将 word32 型 输入 与 “0xFF” 进 行 *&.” 运 算 , 并 将 获取 的 数据 强制 转化 为 unsigned char 
型 数据 ,获得 第 一 个 数据 。 然 后 右 移 8 位 ,再 进行 同样 的 操作 ,获取 下 一 个 数据 ,以 此 类 推 ， 
直至 获取 所 有 数据 。 


17.3.4 哈 希 值 计算 过 程 的 实现 


transformHash() 函 数 是 哈 希 值 计 算 过 程 的 核心 函数 ,transformHash() PR CS πὰ πῇ s 
值 计算 的 基本 过 程 ,函数 的 详细 实现 代码 见 程序 清单 17-13 。 


程序 清单 17-13 
0l void MM::transformHash(word32 * state,unsigned char * block) 
a ( 
03 word32 A,B,C,D; 
04 word22 x[16]; 
05 B= state [0]; 
06 B= state[1]; 
07 C=state [2]; 
08 D= state [3]; 
09 decode (x,block, 64) ; 
10 FF(A,B,C,D,x[0],3) ; FE (D,A,B,C,x[1], 7); 


1 EE (C,D,A,B,x([2], 11); FF @,C,D,A,x[3],19); 


17.3 MD4 算法 实现 


R FF(AB,C,D,x[4],3); FF (0,A,B,C,x[5],7)7 
B FF(C,D,A,B,x[6],11) ; FF(B,C,D,A,x[7],19); 
14 FF(B,C,D,x[81,3) ; FF(D,A,B,C,x[9], 7) 
15 FF(C,D,A,B,x[10],11) ; FF(B,C,D,A, x[11],19) ; 
16 FF(,B,C,D,x[12],3); FF(D,A,B,C,x [13], 7); 
17 EF(C,D,A,B,x[14],11) FF(B,C,D,A,x[15],19) ; 
18 GG(A,B,C,D,x[0],3); GG(D,A,B,C,x[4],5)7 
19 GG(C,D,A,B,x[8],9) ; GG (5,C, D,A, x [12],13) ; 
20 GS(&,B,C,D,x[1],3); GG(D,A,B,C,x[5],5) ; 
2 GS(C,D,A,B,x [9], 9) ; G5(B,C,D,A, x [13],13) ; 
22 GG(A,B,C,D,x[2],3)7 GS(D,A,B,C,x[6],5) ; 
23 GS(C,D,A,B,x[10], 9) ; GS(B,C,D,A,x[14],13) 
24 GG(A,B,C,D,x[3],3)7 GG(D,A,B,C,x[7],5)7 
25 GG(C,D,A,B,x[11],9) ; GG@B,C,D,A,x[15] ,13) ; 
26 HH(A,B,C,D,x[0],3)7 HH(D,A,B,C,x[8],9) ; 
2 HH(C,D,A,B,x[4],11); HH(B,C,D,A,x[12],15) ; 
28 HH(A,B,C,D,x([2],3)7 HH(D,A,B,C,x[10],9) ; 
29 HH(C,D,A,B,x[6], 11) ; HH(B,C,D,A,x[14],15) ; 
30 HH(AB,C,D,x(1],3); HH(D,A,B,C,x[9],9)7 
31 HH(C,D,A,B,x[5], 11}; HH(B,C,D,A,x[13],15) ; 
2 HH(A,B,C,D,x[3],3) ; HH(D,A,B,C,x[11],9) ; 
33 HH(C,D,A,B,x[7],11) ; HH(B,C,D,A,x[15],15) ; 
34 state[0]+=A; 

3 state[1]+ = B; 

36 state[2]+ = C; 

ΕΙ state [3]+ =D; 

38 } 


transformHash() 函 数 的 核心 是 分 别 进行 16 4h FFO ΘΟ ΟἿ HHO $ , MWS 
数 一 个 是 哈 希 值 , 另 一 个 是 需 计算 哈 希 值 的 分 组 ,两 个 参数 均 为 指针 型 ,在 计算 之 前 需要 将 
输入 的 unsigned char 型 分 组 转化 为 word32 型 数组 ,在 程序 中 使 用 了 decode() ph BOK 9: HL 
该 功能 。 

根据 输入 的 数据 长 度 进行 填充 和 哈 希 值 的 计算 过 程 分 别 由 update O 函数 和 final O PA 
数 完成 ,update() 函数 与 final() 函数 结合 计算 哈 希 值 的 过 程 可 以 描述 为 : 

(1) 如 果 输 入 数据 的 长 度 超过 64 字 节 (512 位 ), 则 每 64 字 节 计算 哈 希 值 ,至 数据 长 度 
小 于 64 字 节 结束 。 

(2) 对 上 一 步 剩 余部 分 数据 进行 填充 ,如 果 填 充 后 的 长 度 大 于 64 字 节 , 则 对 64 字 节 计 
算 哈 希 值 ,否则 进入 下 一 步 。 

(3) 对 上 一 步 得 到 的 数据 进行 输入 数据 长 度 填 充 ,并 对 填充 后 的 数据 计算 哈 希 值 , 得 到 
数据 最 终 哈 希 值 的 计算 结果 。 

update() 函数 的 详细 代码 见 程序 清单 17-14。 


程序 清单 17-14 


OL void MD4: :update (Context κ context,unsigned char κ input,word32 inputlen) 


1288. 
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word32 1, index,partLength; 
index- (word32) ((context- > count [0]>> 3) &0x3F) ; 
if((context- > count [0]+ = ( (word32) inputlen<< 3) )« ((word32) inputlen<< 3)) 
1 
context- > count [1]+ + ; 
} 
context- > count [1]+ = ( (word32) inputlen>> 29) ; 
partLength= 64- index; 
if(inputlen» — partLength) 
t 
setBuffer ( (unsigned char * ) &context- » buffer [index], 
(unsigned char * )input,partlength) ; 
transformHash (context- > state, context- > buffer) ; 
for (i= partLength; i+ 63« inputlen;i+= 64) 
{ 
transfomash (context- > state, input [i]) ; 


i= 0; 
} 
setBuffer ((unsigned char * )&context- > buffer [index], 
(unsigned char * )&input [i], inputlen- i); 


程序 中 的 第 4 行 代码 是 用 于 计算 输入 数据 的 字 节 数 模 64, 由 于 Context 结构 体 中 的 
count 变量 是 用 于 计算 输入 数据 的 总 位 数 (bit) ,将 该 变量 转换 成 字 节 总 数 需要 将 总 位 数 除 
8 ,该 运算 相当 于 将 对 应 变量 右 移 3 [109 > 3) ,而 &0x3F 运算 则 是 进行 模 64 运算 。 经 过 这 
步 运 算得 到 输入 数据 的 字 节 数 模 64。 第 5 行 代 码 到 第 9 行 代 码 是 将 待 计算 哈 希 值 的 字 节 
型 数据 (byte) 的 长 度 转换 为 以 位 (bit) 为 单位 的 Context 结构 体 的 count 数组 中 。 

final O 函数 的 详细 代码 见 程序 清单 17-15。 


程序 清单 17-15 


0l void MD4::final (unsigned char* digest,Context * context) 


2 { 


unsigned char bits [8]; 

word32 index, padLength; 

encode (bits, context- > count, 8) ; 

index- (word32) ((context- > count [0]>> 3) &0x3F) ; 
padlength= (index< 56)? (56- index): (120- index); 
update (context, Padding, padLength) ; 

update (context,bits, 8) ; 
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10 encode (digest, context- > state, 16) ; 
1l setMem( (unsigned char * )context, 0, sizeof ( * context) ) ; 
12 } 


update() 函数 主 要 处 理 输 入 长 度 大 于 646512 位 ) 时 进行 哈 希 值 预计 算 ,而 final O 函数 
则 根据 输入 的 长 度 确定 需要 填充 数据 的 长 度 ,在 进行 填充 后 再 调用 update O PR Zt TE EH 
应 哈 希 值 , 然 后 将 计算 结果 转化 输出 。 第 7 行 代码 用 于 确定 需要 填充 的 数据 长 度 , 由 于 在 一 
个 分 组 中 有 8 字 节 (64 位 ) 用 于 附加 输入 数据 的 总 长 度 , 因 此 ,在 计算 需要 填充 的 数据 长 度 
时 是 以 64—8=56 作为 判断 的 标准 。 

在 计算 哈 希 值 的 过 程 中 使 用 了 setBuffer() 函 数 ,该 函数 是 将 所 需 计 算 的 数据 转 存 到 
Context 结构 体 buffer[64] 数 组 中 ,setBuffer() 函 数 的 详细 实现 代码 见 程 序 清单 17-16 。 


程序 清单 17-16 


Ol void MD4::setBuffer (unsigned char κ output,unsigned char * input,word32 len) 


0 { 

03 word32 i; 

04 for (i= 0;i« len;i+ +) 

05 { 

06 output [1]- input [i]; 
07 ) 

08 } 


setBuffer ) 函数 实现 的 功能 比较 简单 ,只 是 将 输入 的 数据 根据 所 需 的 长 度 转 存 到 
buffer[64] 数 组 中 。 

在 完成 所 有 计算 之 后 ,通过 setMem() 函 数 重 置 Context 结构 体 ,setMem() 函 数 的 具体 
代码 见 程序 清单 17-17。 


程序 清单 17-17 
Ol void MD4::setMem(unsigned char * output, int value,word32 len) 
a { 
03 word32 i; 
04 for (i= 07i< len;i++) 
05 { 
06 ((char * )output) [i]= (char) value; 
07 } 
0 } 


该 函数 的 第 3 个 参数 是 结构 体 的 大 小 ,通过 sizeof( κ context) 213. 
17.3.5 测试 与 输出 


程序 的 驱动 通过 函数 hashProcss() 进 行 ,通过 display O Ph BOK it $3 28 3: bos th 3 HE 
具体 执行 过 程 中 ,只 需要 通过 mainO AROA hashProcss() 函 数 就 可 以 完成 测试 。 
hashProcss() 函 数 的 详细 代码 见 程序 清单 17-18. 
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程序 清单 17-18 
ΟἹ void MD4: :hashProcss (Ghar* inputString) 
e t 
03 cout<< "hash ("<< inputString<< ")="; 
04 Context context; 
05 init (&context) ; 
06 unsigned char digest [16]; 
07 word32 len- strlen (inputString) ; 
08 update (&context, (unsigned char * ) inputString, len); 
09 final (digest, &context) ; 
10 display (digest) ; 
uo) 


hashProcss() 函数 的 参数 是 输入 的 字符 串 ,函数 中 的 变量 digestL16] 用 来 存储 计算 所 得 
的 哈 希 值 ,由 于 在 计算 哈 希 值 过 程 中 使 用 的 变量 类 型 为 unsigned char, 因 此 ,在 计算 前 需 将 
输入 的 char 型 字符 串 转换 为 unsigned char 型 。 

在 计算 完成 之 后 ,通过 display() 函 数 将 计算 结果 显示 出 来 ,display() 函 数 的 详细 代码 
见 程序 清单 17-19。 


程序 清单 17-19 


Ol void MD4::display(unsigned char* digest) 


word32 i; 
for (i= 07 i< 16;i+ + ) 


cout«« hex<< (int)digest [i]; 


cout<< endl; 


哈 希 值 通过 16 进 制 的 方式 进行 显示 , 见 代码 行 第 6 行 。 
具体 测试 过 程 通过 main() 函 数 执行 ,main() 函数 的 具体 代码 见 程序 清单 17-20。 


程序 清单 17-20 
OL int main() 
oe t 
03 MD4 m4; 
04 md4.hashProcss ("") ; 
05 md4.hashProcss ("a") ; 
06 m4. hashProcss ("'abodefghi jkImoparstuvwxyz") ; 
07 md4 .hashProcss ("1234567890123456789012345678901234567890123") ; 
08 md4.hashProcss ("The quick brown fox jumps over the lazy cog"); 
09 m4. hashProcss ("The quick brown fox jumps over the lazy dog"); 
10 retur 0; 


17.4 MDS 算法 原理 ^289. 


测试 的 结果 如 下 : 


hash ()=31d6cfe0dl6ae93]b73c59d7e0c089c0 

hash (a)=bqe52db31qe33e46245e5fbdbd6fb24 

hash (abcdefghi jkImopgarstuvwxyz) = d79e1c308aa5HbodeeaBede3df412da9 

hash (1234567890123456789012345678901234567890123) = 5433cc 13c85542abc409336e6e8081 
hash (The quick brown fox jumps over the lazy cog)=b8¢el30e728da5%e6 2d56adll3df 
hash (The quick brown fox jumps over the lazy dog)- lbee69a46ba811185c194762abaeae90 


测试 数据 1,2,3 采用 了 文献 [66] 中 的 测试 数据 ,测试 结果 与 文献 [66] 一 致 。 第 5 组 和 
第 6 组 测试 数据 是 一 组 简单 对 比 , 仅 将 倒数 第 3 个 字符 进行 了 修改 ,得 到 的 哈 希 值 完 全 
不 同 。 


17.4| MDS 算法 原理 


MD5 消息 摘要 算法 也 是 由 Ron Rivest 提出 的 ,MD5 算法 实际 上 是 MD4 算法 的 改进 版 
本 。MD5 算法 的 输入 可 以 是 任意 长 度 的 消息 ,输出 是 128 位 的 消息 摘要 。MD5 算法 与 
MD4 算法 相 比 主要 增加 了 算法 的 复杂 性 和 不 可 逆 性 。 

目前 ,MD5 算法 比较 广泛 应 用 于 完整 性 检验 ,例如 ,在 服务 器 上 有 待 下 载 文件 ,并 有 计 
算得 到 的 哈 希 值 , 用 户 下 载 完 文件 后 可 以 使 用 MD5 算法 来 计算 文件 的 哈 希 值 , 并 与 服务 器 
上 提供 的 哈 希 值 进 行 比较 ,车 两 者 相同 , 则 表示 文件 在 传输 过 程 中 没有 被 算 改 ,否则 ,下 载 的 
文件 可 能 被 自 改 或 不 完整 。 

MD5 算法 的 基本 结构 与 MD4 算法 的 基本 结构 类 似 ， 
并 在 MD4 算法 的 基础 上 进行 了 一 些 改进 , MD5 算法 的 基 
本 结构 如 图 17-13 所 示 。 

与 MD4 算法 相 比 ,在 一 轮 运 算 中 ,A 在 输出 之 前 还 进 
行 加 B 模 2” 运算 ,同时 在 每 轮 运算 过 程 中 ,运算 的 基本 方 
法 也 做 了 适当 的 改进 。MD5 算法 计算 消息 摘要 的 基本 过 
程 如 下 。 

(1) 预 处 理 

MD5 算法 的 预 处 理 过 程 与 MD4 算法 相同 ,同样 包括 
消息 填充 .长度 填充 和 初始 化 MD 缓冲 区 ,具体 参考 MDA 
的 这 部 分 内 容 。 

2N A T6 PPO A RAEE 图 17-13 MD5 算法 的 基本 结构 

在 以 16 个 字 的 方式 处 理 消 息 时 需要 使 用 4 个 辅助 函 
数 ,这 4 个 辅助 函数 的 输入 都 是 3 个 32 位 的 字 ,输出 都 是 1 个 32 位 的 字 , 这 4 个 辅助 函数 
分 别 如 下 : 


F(X, Y,2)=XY V not (Q) Z 
G(X,Y,Z)-Xz V Y not (Z) 
H(K,Y,Z)= X xor Y xor Z 
I(XYZ-Yxor (XV not(2) 
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1E F.G.H 和 了 的 运算 中 ,使 用 的 运算 是 按 位 进行 的 逻辑 运算 。XY 表示 X&Y, 以 此 类 
推 。 与 MD4 算法 相 比 增加 了 一 个 I 运算 ,同时 ,对 原来 的 G 函数 的 运算 方法 进行 了 适当 的 
修改 。 在 3 个 辅助 函数 的 基础 上 ,执行 以 下 伪 码 的 运算 : 


for i:=0 to N/16-1 
for j:=0 to 15 
M(i* 16-3]:- XD] 
endfor 
AMA 
BB-B 
σ-ς 
DD-D 
/* 8186.9 / 
/* ik [ABCD k s i] fE Jg AB ( (A+ F@B,C,D)+X[k]+ T[i]) <<<s). * / 
/* 执行 以 下 16 次 操作 .* / 


[BD 0 7 1] [Dec 1 12 2] (ΠΒ 2 17 3] [KIA 3 22 4] 
(MED 4 7 5] [DBC 5 12 6] [AB 6 17 7] [ΤᾺ 7 22 8] 
[ACD 8 7 ο] mpc 9 12 10 (cB 10 17 11] [ΒΤᾺ 1122 12] 
fap 12 7 13] [ΒΟ 13 12 14 ΓΒ 14 17 15] [BOA 15 22 16 
/x 第 2 轮 . */ 

/* W [ABCD k s 的 操作 为 A=B ((A+G@,C,D)+X[k]+ Tli]) «««s). * / 

/# 执行 以 下 16 次 操作 .* / 

[ACD 1 5 17 ec 6 9 18 (cB 11 14 19] [BOA 0 20 20] 
[D 5 5 21] me 109 22 ΓΒ 15 14 23] [KMA 4 20 24] 
[ACD 9 5 25] [ΠΡΟ 14 9 26 (cB 3 14 7] [BOA 8 20 28] 
[ACD 13 5 29] [ΠΒ 2 9 30 (cB 7 14 3l] [BETA 1220 32] 
/* 第 3 轮 . κ) 

/* ik [abcdkst] 的 操作 为 abt ((at Hi, c,d)+X[k]+ Tli]) <<<s). * / 

/* 执行 以 下 16 次 操作 .* / 

[ABCD 5 4 33] [ΠΡΟ 8 1 34 COB 11 16 35] [BOA 14 23 36 
[ACD 1 4 37] [me 4 Ἡ 38 (CB 7 16 39] [BOA 10 23 40] 
[BCD 134 4] [me 0 11 42 COB 3 16 43] [BOA 6 23 44 
[ABCD 9 4 45] [ΠΡΟ 1211 46 COB 15 16 47] [BOA 2 23 48] 
/x 第 4 轮 .x*/ 

/* i [ABCD kst] 的 操作 为 A= Bt ( (A+ IG,C,D)+X[kK]+ T[i]) <<<s). * / 

/* 执行 以 下 16 次 操作 .* / 

[Dp 0 6 49] [DBC 7 10 50 COB 14 15 SI [BoA 5 21 52] 
[Bp 126 53] [me 3 10 54 CB 10 15 55] ΗΠΑ 1 21 56] 
[ABCD 8 6 57] [DABC 15 10 58 COB 6 15 59 [BA 1321 ο] 
[Bp 4 6 6l] [DBc 1110 6 COB 2 15 63 ΗΠΑ 9 21 64 
»- Δ ΛΑ 

ἘΞΒΕΕΒ 

ccc 

D-DFDD 


17.5 MD5 算法 实现 


在 MD5 算法 的 四 轮 计算 过 程 中 分 别 使 用 辅助 函数 FO .GO HO #l TO 5 MD 算法 
相 比 ,除了 使 用 的 X[kj 不 同 外 ,还 增加 了 另外 一 个 常量 T[ 襄 ,T[ 订 在 每 一 次 运算 过 程 中 各 
不 相同 ,其 具体 的 值 在 程序 中 给 出 。 

(3) 输出 

消息 摘要 的 输出 是 按照 A,B,C,D 的 顺序 输出 ,输出 以 低位 A 作为 开始 ,以 高 位 D ff: 
为 结束 。 


17.5| MDS 算法 实现 


MD5 算法 的 实现 过 程 主要 由 数据 初始 化 、 处 理 待 计算 数据 的 填充 、 计 算 喻 希 值 以 及 输 
出 显示 等 几 部 分 来 完 


17.5.1 MDS 算法 实现 的 基本 结构 


为 便于 与 MD4 算法 的 实现 进行 比较 ,MD5 算法 的 实现 可 以 采用 与 MD4 算法 相似 的 结 
构 , 基 本 数据 仍 采用 word32 来 处 理 , 哈 希 值 计算 同 样 采用 结构 体 进行 ,实现 MD5 算法 的 类 
MD5 的 基本 结构 如 图 17-14 所 示 。 


ΜΗΣ 
- Padding[64| : unsigned char 
- FS[16] : Static const word32 
- GSI16] : static const word32 
- HS[16] : static const word32 
- IS[16] : static const word32 
- FAC[16] : Static const word32 
- GAC|16] 1 Static const word32 
- HACI16] : Static const word32 
- IACI16] : static const word32 
+ MD5 0 
+ init (Context * context) : void 
+ F(word32 x, word32 y, word32 z) : word32 
* G(word32 x, word32 y, word32 z) 1 word32 
+ H(word32 x, word32 y, word32 z) : word32 
+ I(word32 x, word32 y, word32 z) : word32 
+ FF (word32& a, word32 b, word32 c, word32 d, word32 x, const word32 s, const word32 ac) : void 
+ GG (word32& a, word32 b, word32 c, word32 d, word32 x, const word32 s, const word32 ac) : void 
* HH(word32& a, word32 b, word32 c, word32 d, word32 x, const word32 s, const word32 ac) : void 
+ MH (word32& a, word32 b, word32 c, word32 d, word32 x, const word32 s, const word32 ac) : void 
+ rotateLeft (word32 x, word32 n) : word32 
+ decode (word32* output, unsigned char* input, word32 len) : void 
* encode (unsigned char* output, word32* input, word32 len) : wid 
+ trans formHash (word32 state, unsigned char* block) tint 
+ update (Context* context, unsigned char* input, word32 inputlen) 
* final (unsigned char* digest, Context* context) 
+ hashProcss (char* inputString) 
+ setBuffer (unsigned char* output, unsigned char* input, word32 len) 
* setMem (unsigned char* output, int value, word32 len) 
+ display (unsigned char* digest) 


图 17-14 MD5 类 的 基本 结构 
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与 MD4 类 相 比 ,MD5 类 增加 了 FS[16],GS[16], HS[16] 和 IS[16] 轮 运算 中 的 常量 ， 
同时 也 增加 了 FAC[16],GAC[16],HAC[16] 和 IAC[16] 轮 运算 常量 ,同时 ,FF(),GG() 和 
HHO 〇 函数 参数 增加 一 个 参数 ,并 增加 了 TO 函数 用 于 第 4 轮 运算 。 

MD5 类 的 声明 见 程 序 清单 17-21。 


程序 清单 1721 
0l class M5 
0e { 
03 public: 
04 M50; 
05 void init (Context * context); 
06 word32 F (word32 x,word32 y,word32 z); 
07 word32 G (word32 x,word32 y,word32 z); 
08 word32 H (word32 x,word32 y,word32 z); 
09 word32 I (word32 x,word32 y,word32 z); 
10 void ΕΕ (word32 &a,word32 b,word32 c,word32 d, 
11 word32 x,const word32 s,const word2 ac); 
12 void GG (word32 &a,word32 b,word32 c,word32 d, 
13 word32 x,const word32 s,const word ac); 
14 void HH (word32 &a,word32 b, word32 c,word22 d, 
15 word32 x,const word32 s,const word2 ac); 
16 void II (word32 &a,word32 b,word32 c,word32 d, 
17 word32 x,word32 s,word32 ac); 
18 word32 rotateLeft (word32 x,word32 n); 
19 void decode (word32 * output, unsigned char * input,word32 len); 
20 void encode (unsigned char * output,word32 * input, word32 len); 
2 void transformHash(word32 * state,unsigned char * block); 
22 void update (Context * context,unsigned char * input,word32 inputlen); 
23 void final(unsigned char* digest,Context * context); 
24 void hashProcss (char * inputString); 
25 void setBuffer (unsigned char * output, unsigned char * irput,word3) len); 
26 void setMem(unsigned char * output, int value,word22 len); 
21 void display (unsigned char* digest); 
28 private: 
29 unsigned char Padding[64] ; 
30 static const word32 FS[16]; 


static const word32 GS[16]; 
static const word32 HS[16]; 
static const word32 IS[16]; 
static const word32 FAC[16]; 
static const word32 GAC[16]; 
Static const word32 HAC[16]; 
static const word32 IAC[16]; 
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17.5 MD5 算法 实现 


与 MD4 类 相 比 ,代码 行 第 9 fr RUM TO ρ8 3 ,代码 行 第 16 行 增加 了 πο μας, 8 
行 第 30 行 到 第 37 行 增加 的 常量 分 别 是 用 于 四 轮 计算 过 程 中 使 用 的 常量 。 


17.5.2 数据 初始 化 


MD5 类 的 数据 初始 化 包括 Context 结构 体 相关 数据 的 初始 化 、 填 充 数据 的 初始 化 和 计 
算 哈 希 值 过 程 中 使 用 的 各 常量 的 初始 化 ,填充 数据 的 初始 化 通过 构造 函数 完成 ,Context 结 
构 体 的 相关 数据 的 初始 化 通过 init O 函数 完成 ,构造 函数 MDS © #ll init() 函数 的 实现 过 程 
与 MD4 类 中 对 应 函数 的 实现 方法 完全 一 致 。 

计算 哈 希 值 过 程 中 的 各 常量 的 初始 化 见 程序 清单 17-22。 


程序 清单 17-22 


const word32 MDS: :FS[16]- {7,12,17,22,7,12,17,22,7,12,17,22,7,12,17,22}; 


9 
[zi 


02 const word32 MDS: :GS[16]= (5,9,14,20,5, 9,14,20,5,9,14,20,5,9,14,20); 
03 const word32 MD: :HS[16]- (4,11, 16,23, 4, 11,16,23,4,11, 16, 23,4, 11, 16,23}; 
04 const word32 MD: :IS[16]- (6,10, 15,21, 6, 10, 15,21, 6, 10, 15,21, 6, 10, 15,21); 
05 const word32 MD: :FAC[16]- ( 

06 Oxd76aa478, 0xe8c 10756, 0x242070db, Oxclbdoeee, 

07 Oxf57c0faf, 0x4787c€2a, 028304613, 0xfd469501, 

08 0x69809838, 0x8b44f Jaf, ΟΚΕΕΕΕΞΟΟΙ, 0x895od Tbe, 

09 0x85901122, 0xfd987193, 0xa679438e, 0x49540821) ; 

10 const word32 MD: :GAC[16]- ( 

1l Oxf61e25€2, 0xc0400340, 0x265e5a51, 0xedb6c7aa, 

12 Oxd62£105d, 02441453, Oxd8aleé81, Oxe7d3fbc8, 

B Ox21elode6, 0xc33707d6, Oxf4d50d87, 0x455a14ed, 

14 0x29e3e905, Oxfcefa3f8, 0x676£0289, OxBd2a4cBa} ; 

15 const word32 MD5: :HAC[16]- ( 

16 Oxfffa3942,0x8771£681, Ox6d9d6122, Oxfde5380c, 

17 Oxa4beea44, 0x4bdecfa9, Ox£G34b60, Oxbebfbc70, 

18 0x289b7ec6, 0xeaal27fa, Oxd4ef3085, 0x4881d05, 

19 Oxd9d4d039, Oxe6db99e5, 0x1fa27cf8,0xc4ac5665); 

20 const word32 MD5: :IAC[16]- { 

a Ox£4292244, 0x432af £97, 0xab9423a7, Oxfic93a039, 

22 0x655b59c3, 0x8£0ccc92, Ox fef £4 7d, Ox85845ddl, 

23 Ox6fa87e4f, 0xfe2ce6e0, 0xa3014314, 0x4e0811al, 

24 Ox£7537e82, Oxbd3af235, Ox2ad7d2hb, Oxeb86d391 } ; 


ALS Bx FFO.GGO.HHO ll HO pax. 
17.5.3 辅助 函数 的 实现 


MD5 算法 中 的 辅助 函数 大 致 与 MD4 算法 中 的 辅助 函数 相同 ,MD5 算法 中 的 encodeO 
PRL decode() PAR, rotateLeft O MAS MD4 算法 中 对 应 函数 的 实现 方法 完全 相同 。 

MD5 算法 中 的 F(0),G(O ,H(O) 与 MD4 算 法 中 对 应 函数 的 实现 方法 类 似 , 并 增加 了 IC) 
函数 ,FO 函数 的 详细 实现 代码 与 MD4 算法 中 的 FO 〇 函数 实现 代码 相似 ,只 需要 将 函数 名 称 
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修改 为 word32 MD5::F(word32 x.word32 y,word32 z) ,具体 可 参考 程序 清单 17-7. 
GO 〇 函数 的 详细 实现 代码 见 程序 清单 17-23。 


程序 清单 17-23 
Ol word32 MD5::G(word32 x,word32 y,word32 z) 
e { 
03 return (((x) κ (2))| ((y) & (~ 2))); 
04 } 


GO 函数 的 参数 和 返回 类 型 与 MD4 中 的 GO 函数 一 致 ,但 两 个 函数 的 计算 方法 有 所 不 
同 ,在 MD4 的 GO 函数 的 返回 值 是 (C(x) & Cy) 1CG0 & (2}}|((ν} & (2z))), 而 MDS 的 
GO RANE AEC & (2))|((y) & C92». 

MD5 算法 中 的 HO 函数 的 实现 方法 与 MD4 中 的 HO 函数 的 实现 方法 相似 ,只 需要 将 
函数 名 称 修改 为 word32 MD5:: H(word32 x,word32 y,word32 z) 即 可 ,具体 实现 代码 见 程 
序 清单 17-10。 

在 MDS 算法 中 增加 了 了 IO 〇 函数 ,10 〇 ) 的 详细 代码 见 程序 清单 17-24。 

程序 清单 17-24 


Ol word32 MD5::I(word32 x,word32 y,word32 z) 
et 

03 retum ((y) ^ (69 | (~ 2)); 

0 } 


除了 上 述 四 个 辅助 函数 之 外 ,MD5 算法 另外 使 用 了 四 个 辅助 函数 ,这 四 个 辅助 函数 为 
FFO.GGO.HH OZ NO P2 . 3X VU 4 PR 55: MD4 算法 中 的 函数 类 似 ,但 在 运算 方法 和 使 
用 的 常量 上 有 所 不 同 。 

FF( 〇 函数 的 详细 代码 见 程 序 清单 17-25。 

程序 清单 17-25 


0l void MD5::FF (word32 &a,word32 b,word32 c,word32 d,word32 x, 
02 const word32 s,const word32 ac) 

03 ( 

04 at-F(b,c,d)* x+ ac; 

05 a= rotateleft (a,s) ; 

06 at=b; 

0) } 


MDs 算法 的 FFO 〇 函数 的 参数 与 MD4 算法 的 FF() 函 数 相 比 增加 了 一 个 参数 ,该 参数 
在 计算 a 中 使 用 ,MD5 算法 的 FFO 〇 函数 的 计算 过 程 与 MD 算法 的 FFO 〇 函数 的 计算 过 程 也 
有 所 不 同 ,在 循环 左 移 后 ,输出 的 a 值 还 需要 加 上 b。 在 计算 过 程 中 使 用 的 循环 左 移 函 数 与 
MD4 算法 中 的 循环 左 移 函数 完全 一 样 , 循 环 左 移 所 使 用 的 参数 s 就 是 常量 FS, 在 计算 过 程 
中 所 使 用 的 ac 就 是 常量 FAC. 

GGO 函数 的 详细 代码 见 程 序 清单 17-26 。 
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程序 清单 17-26 


Ol void MDS: :GG (word32 &a, word32 b,word32 c,word32 d,word32 x, 
02 const word32 s,const word32 ac) 
0 { 

04 at-G(b,c,d)* x+ ac; 
05 a= rotateleft (a, s) ; 
06 at=b; 

o7 } 


GG0O 〇 函数 的 参数 含义 与 FFO 〇 函数 的 参数 含义 相同 ,具体 计算 方法 与 FF() 函数 类 似 。 
HHO 函数 的 详细 代码 见 程序 清单 17-27. 


程序 清单 17-27 


0L void MD5::HH(word32 &a,word32 b,word32 c,word32 d,word32 x, 
const word32 s,const word32 ac) 
t 
at-H(b,c,d)* x+ ac; 
a= rotateleft (a, 5) ; 
at=b; 


988888 
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类 似 。 
IIO 〇 函数 的 详细 代码 见 程 序 清单 17-28。 
程序 清单 17-28 
OL void MD5::II(word32 &a,word32 b,word32 c,word32 d,word32 x, 
02 const word32 s,const word32 ac) 
03 { 
04 at=I(b,c,d)+ x+ ac; 
05 a= rotateleft (a,s) ; 
06 at=b; 


0ο ) 

NO PANS BR Mth 53 FF() 函 数 的 参数 含义 相同 ,具体 计算 方法 也 与 FF O 函数 
类 似 。 
17.5.4” 哈 希 值 计算 过 程 的 实现 

MD5 类 中 的 transformHash() 函数 是 哈 希 值 计 算 过 程 的 核心 函数 ,transformHash() 
函数 完成 哈 希 值 计算 的 基本 过 程 ,函数 的 详细 实现 代码 见 程序 清单 17-29 。 

程序 清单 17-29 


01 void MD5: :transfommash (word32 κ state,unsigned char * block) 
e { 
03 word32 A,B,C,D; 
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04 word2 x[16]; 

05 B= state [0]; 

06 B= state[1]; 

07 C-state[2]; 

08 Dr state[3]; 

09 decode (x, block, 64) ; 
10 word32 temp; 

Hu word32 i; 

12 for (i= 0;i< 16;i+ + ) 
B { 

14 FF (@,B,C,D,x[i] ,FS[i],FAC[i]); 
15 τεπρ- D; 

16 D-C; 

17 CB; 

18 BA; 

19 A= temp; 

20 } 

2 for(i-0;i«1l6;ji* +) 
2 { 

23 GG(A,B,C,D,x[ (1+ i* 5)%16],GS[i],GAC[i]); 
24 temp- D; 

25 DG 

26 GB; 

2 BA; 

28 A- temp; 

29 } 

30 for (i= O;i< 16;i+ + ) 
31 { 

= HH(A,B,C,D,x[ (Sr i * 3)%16],HS[i],HAC[i]); 
33 temp=D; 

34 D-C; 

35 C-B; 

36 B-A; 

3: P= temp; 

38 } 

39 for (i= O;i< 16;i+ +) 
40 { 

41 II @,B,C,D,x[(i* 7)%16],1S[i],TAC[i]); 
42 temp-D; 

43 D=C; 

4 C=B; 

45 BA 

46 A= temp; 

4] } 

48 state[0]+=A; 


17.5 MD5 算法 实现 


49 state[1]* — B; 
50 state[2]* — C; 
51 state[3]+ = D; 
s 1] 


transformHash O 函数 的 实现 方法 与 MD4 中 的 transformHash O 函数 的 实现 方法 类 
似 , 但 MDS 中 的 transformHash() 函 数 在 实现 过 程 中 共 分 为 4 轮 , 每 轮 进行 16 次 操作 , 例 
如 ,代码 行 的 第 12 行 到 第 20 行为 第 1 轮 , 共 进行 16 次 FF() 运 算 , 其 他 轮 的 运算 和 操作 方 
式 类 似 。 在 计算 过 程 中 需 注 意 变量 x 的 索引 变化 ,在 FF() 轮 的 计算 中 ,x 索 引 的 起 始 值 为 
0, 每 次 操作 后 递增 1, 即 x[i]. ME GG() 轮 的 计算 中 ,x 索 引 的 起 始 值 为 1, 每 次 递增 5, 然 
后 进行 模 16 运算 ,得 到 相应 的 索引 值 , 即 κά +5 * D2616]. WF H FEW xL+3 * iD %16], 
对 于 i 轮 为 x[(7 * 02616]. 

在 哈 希 值 的 计算 过 程 中 还 使 用 了 其 他 一 些 MD4 算法 中 相似 的 相关 函数 ,如 update() 
函数 final O PRR. setBuffer() RŽI setMem() ER 3⁄4 , iX É BR CTS] 3: Jl Jy 3; tj MD4() 算 法 
中 对 应 的 函数 的 实现 方法 完全 一 样 ,可 以 参考 MD4 算法 中 的 具体 实现 。 


17.5.5 测试 与 输出 


程序 的 驱动 通过 函数 hashProcss() 进 行 , 通 过 display() 函 数 将 计算 结果 显示 出 来 ,在 
具体 执行 过 程 中 ,只 需要 通过 main() 函 数 调用 hashProcss() 函 数 就 可 以 完成 测试 。 
hashProcss() 和 display() 函 数 的 实现 方法 与 MD4 算法 中 的 hashProcss() 和 display O PAX 
的 实现 方法 完全 相同 。 具 体 测试 过 程 通过 main() 函 数 执行 ,main() 函 数 的 详细 代码 见 程 序 
清单 17-30。 


程序 清单 17-30 
OL intmain() 
02 { 
03 ΜῈ πας; 
04 md5.hashProcss ("") ; 
05 md5.hashProcss ("a") ; 
06 má5.hashProcss ("abc") ; 
07 má5.hashProcss ("abodefghi jkImopgrstuvwxyz") ; 
08 má5.hashProcss ("1234567890123456789012345678901234567890123") ; 
09 md5.hashProcss ("The quick brown fox jumps over the lazy dog"); 
10 md5.hashProcss ("The quick brown fox jumps over the lazy dog."); 
n retum 0; 
12 } 


测试 数据 部 分 选用 了 文献 L68] 和 文献 L69] 中 的 测试 数据 ,测试 结果 与 文献 中 给 出 的 结 
果 一 致 ,具体 测试 结果 如 下 : 


hash ()= d4ld8cd98fOb24e980998ecf8427e 
hash (a)= cc175b9c0f1b6a831c399e269772661 

hash (abc) = 901509830024 £0d6963£71d28e17£72 

hash (abodefighi jkInnoparstuvwxyz) = c3Fcd3d76192e4073fb496cca67e13b 
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hash (1234567890123456789012345678901234567890123)= c4543386ca4af0c7568ce51e42Q+oef7 
hash (The quick brown fox jumps over the lazy dog)= 9€107d9d372inb6826bd81d3542a419d6 
hash (The quick brown fox jumps over the lazy dog.)— e4d99c290a0fb1ca068ffaddf22dodO 


在 最 后 两 个 测试 用 例 中 ,输入 的 字符 串 仅 在 最 后 的 “. "上 有 所 区 别 , 其 他 内 容 完全 相同 ， 
而 计算 得 到 的 哈 希 值 则 完全 不 同 。 


17.6| 习题 与 实践 题 


17.6.1 习题 


. 简要 说 明 散 列 函 数 所 需 具备 的 基本 性 质 。 

. 简要 说 明 散 列 算法 使 用 的 基本 方法 。 

. 简要 说 明 MD4 散 列 算法 的 基本 结构 。 

. 简要 说 明 MD4 散 列 算法 消息 填充 的 基本 原理 。 

. 简要 说 明 MD4 散 列 算法 长 度 填 充 的 基本 原理 。 

. 简要 说 明 MD4 散 列 算法 中 各 辅助 函数 的 计算 方法 。 

T 简要 说 明 MDS 散 列 算法 与 MD4 散 列 算法 之 间 的 区 别 。 


17.6.2 实践 题 


l. 编程 实现 MD4 散 列 算法 ,要 求 : 需 计 算 散 列 值 的 消息 从 文件 读 取 , 计 算得 到 的 散 列 
值 存储 到 文件 。 

2. 编程 实现 MDS 散 列 算法 ,要 求 : 需 计算 散 列 值 的 消息 从 文件 读 取 , 计 算得 到 的 散 列 
值 存储 到 文件 。 


πα 5 σι = οὐ r > 


SHA 是 安全 散 列 算法 (Secure Hash Algorithm) f (ij fk. SHA 是 由 美国 国家 安全 局 设 
计 的 系列 算法 ,该 系列 算法 共有 5 个 算法 ,分 别 为 SHA-1、SHA-224、SHA-256、SHA-384 和 
SHA-512,SHA-1 是 该 系列 的 算法 之 一 ,主要 应 用 于 数字 签名 标准 (DSS) 中 定义 的 数字 签 


名 (DSA) 算 法 。 


18.1| SHA-1 算法 原理 


SHA-1 算法 在 一 定 程度 上 模仿 了 MDS 算法 。SHA-1 算法 是 以 任意 长 度 的 消息 文件 
作为 输入 ,产生 一 个 160 位 的 消息 摘要 作为 输出 ,在 计算 消息 摘要 过 程 中 ,消息 是 以 512 位 


进行 分 组 处 理 。 

SHA-1 计算 喻 希 值 过 程 中 的 每 步 操作 的 基 
本 结构 如 图 18-1 所 示 。 

SHA-1 算法 基本 操作 的 输入 是 5 个 32 位 的 
字 , 图 18-1 中 的 下 是 非 线 性 运算 ,W, 是 1 轮 的 消 
息 扩 展 的 字 ,K, 是 1 轮 常量 。 

SHA-1 算法 的 基本 过 程 与 MD4 和 MD5 $$ 
法 类 似 , 只 是 处 理 的 位 数 不 同 ,SHA-1 算法 的 基 
本 计算 过 程 如 图 18-2 所 示 。 

SHA-1 算法 由 以 下 过 程 完成 : 

CD 消息 填充 长度 填充 

SHA-1 算法 的 消息 填充 和 长 度 填充 的 方法 
与 MD5 算法 的 填充 方法 完全 相同 ,具体 可 参考 
MD5 算法 中 的 处 理 方法 。 

(2) 初始 化 MD 缓冲 区 


图 18-1 SHA-1 操作 过 程 的 基本 结构 


SHA-1 算法 的 输出 是 160 位 ,SHA-1 使 用 的 链接 变量 缓冲 区 也 是 160 位 ,用 于 保存 连 
接 变量 和 最 终 的 哈 希 值 。 链 接 变 量 缓冲 区 以 字 (word) 形 式 处 理 , 共 包含 5 个 字 , 以 十 六 进 


制 表 示 , 这 5 个 字 为 : 


B= 067452301 
B= OxEFCDAB89 
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消息 长 度 (64 位 ) 


Lx5124% 


[s | ww | 


~ 


16047 16047 
图 18-2 SHA-1 算法 的 基本 过 程 


C= 0x98BADCEFE 

D= 0x10325476 

E= OxC3D2E1F0 

A,B,C,D 这 四 个 字 的 初始 值 与 MD5 算法 的 初始 值 一 致 。SHA-1 算法 每 次 通过 5 个 
F 160 位 进行 计算 ,因此 ,与 MDS 算法 相 比 增加 了 Ε. 


(3) 以 16 个 字 (Cword) 的 方式 处 理 消 息 

SHA-1 算法 的 核心 是 4 轮 运算 模块 ,这 4 轮 运算 的 基本 结构 相同 ,但 是 ,在 每 轮 运算 过 
程 中 使 用 的 是 不 同 的 逻辑 函数 ,这 4 个 函数 分 别 可 以 用 fae fo fs M f, 表示 。 这 4 个 模块 
的 处 理 过 程 如 图 18-3 所 示 。 


n| va a s [c [p | E — 


Sis K, WLO~19. 


fs, K, W[40-59] 


L L L ἐν L 


fs, K, W[60-79] 


CV, 


图 18-3 SHA-1 分 组 处 理 过 程 


18.1. SHA-1 算法 原理 “301 Ë 


每 轮 输 入 是 当前 要 处 理 的 512 位 分 组 和 160 位 缓冲 区 ABCDE, ,每 轮 运算 都 要 对 缓冲 区 
进行 更 新 。 在 每 轮 运算 过 程 中 还 要 用 到 加 法 常量 KK, 在 不 同 的 轮 次 中 K 的 取 值 不 同 ,具体 


取 值 方法 如 下 : 
πο] K( 十 六 进 制 ) 含义 ( 取 整 数 部 分 ) 
0<¿<19 0x5A827999 "° > 
20<1<39 0x6ED9EBA1 gn gus 
40<t<59 0x8F1BBCDC 23 x 52 
60<t<79 0xCA62C1D6 29 x 1012 


最 后 一 轮 的 输出 与 第 一 轮 的 输入 相 加 得 到 输出 。 
在 每 一 轮 中 每 步 运 算 的 基本 过 程 见 图 18-1, 具 体 每 步 的 计算 方式 如 下 : 
E+ f(t,.B,C,D)+S°(A)+W,+K,>A 
A>B 
S^(B)—C 
C—D 
D>E 
了 (4,B,C,D) 运 算 根据 操作 步 数 而 定 , 具 体 运算 方法 如 下 : 
0</<19 f(G.B.C.D) —C(A AND O) OR ((NOT B) AND D) 
20<1<39 f(G.B.C.D) —B XOR C XOR D 
40<0<59  f(ü.B.C.D) — (B AND C) OR (B AND D) OR (C AND D) 
60-79 f(ü.B.C.D) —B XOR € XOR D 
S 运算 表示 循环 左 移 运 算 , 例 如 : SARAH A 循环 左 移 5 位 。 
W, 的 运算 方法 如 下 : 
W, =S! (W,-1s XOR W,- XOR W, s XOR W,-;) 
W, 是 从 512 位 分 组 消息 中 导出 ,具体 导出 方法 如 图 18-4 所 示 。 


Was Wes Wea W-s Wes Wes τι Wre 
XOR 
S| <<<1 


图 18-4 SHA-1 中 W, 的 处 理 方式 


W, 的 处 理 过 程 中 的 前 16 个 字 直 接 等 于 消息 分 组 的 第 上 个 字 ,其 余 的 字 按照 W, 的 计算 
方式 获得 。W, 的 计算 也 是 SHA-1 与 MD5 等 算法 的 重要 区 别 之 一 。 

(4) 输出 

在 对 所 有 的 工 个 512 位 分 组 计算 完毕 之 后 ,第 工 个 分 组 的 输出 就 是 160 位 的 消息 
摘要 。 
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18.2| SHA-1 算法 实现 


SHA-1 算法 实现 的 基本 内 容 包 括 数据 初始 化 .数据 填充 、 计 算 哈 希 值 等 几 部 分 组 成 , 基 
本 数据 和 功能 都 封装 在 SHA_1 类 中 。 


18.2.1 SHA-1 算法 实现 的 基本 结构 


SHA-1 算法 的 处 理 单元 仍然 是 32 位 的 数据 ,数据 通过 unsigned int 型 数据 进行 处 理 ， 
在 处 理 过 程 中 依然 使 用 word32 来 表示 unsigned int 型 数据 。word32 型 数据 的 声明 如 下 : 


typedef unsigned int word32; 


计算 哈 希 值 过 程 中 使 用 的 基本 数据 仍 使 用 结构 体 来 进行 处 理 , 结 构 体 Context 的 具体 
声明 如 下 : 


Struct Context 
{ 
word32 low; 
word32 high; 
word32 hash[5]; 
unsigned char buffer [64] ; 
int bufferIndex; 
int computed; 
J 
在 结构 体 Context 中 ,low 和 high 用 于 处 理 输入 的 长 度 ,hash[5] 是 用 来 处 理 计算 哈 希 
值 的 缓冲 ,buffer[64] 是 用 来 存储 计算 512 位 数据 的 输入 ,bufferIndex 是 用 来 记录 读 取 数据 
的 具体 位 置 ,computed 是 用 来 记录 当前 数据 是 否 已 经 计算 。 
完成 具体 计算 的 各 个 函数 和 所 需 的 成 员 变 量 均 封装 在 SHA_1 类 中 ,SHA_1 类 的 基本 
结构 如 图 18-5 所 示 。 


SHA 1 
- wl80] :word32 
- Kt[4] :static const word32 
- messageDigest[20] : unsigned char 
* reset (Context * context) : void 
+ initW (unsigned char * input) : void 
+ leftShift (word32 in, int n) : word32 
+ trans formHash (Context * context) : void 
+ padMessage (Context * context) : void 
+ input (Context * context, const unsigned char * messagelnput, word32 length) : void 
+ result (Context * context, unsigned char * digest) : void 
+ test (char * newinput) : void 
+ display () : void 


图 18-5 SHA_1 类 的 基本 结构 
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SHA_1 类 的 具体 声明 见 程序 清单 18-1. 


程序 清单 18-1 
0l class SHA 1 
2 { 
03 public: 
04 void reset (Context * context); 
05 void initW(unsigned char * input); 
06 word32 leftShift (word32 in, int n); 
07 void transformHash (Context κ context); 
08 void padMessage (Context * context); 
09 void input (Context κ context,const unsigned char * messageInput,word32 length); 
10 void result(Context * context,unsigned char * digest); 
1 void test (char * newInput); 
12 void display (); 
13 private: 
14 word32 wt [80] ; 
15 static const word32 Kt [4]; 
16 unsigned char messageDigest [20] ; 
1 y} 


在 程序 清单 18-1 中 ,变量 wi 80 AK t 次 运算 消息 扩展 的 字 , 变 量 Ki ΤΗ T f$ 
放 在 4 轮 运算 过 程 中 所 需 的 常量 ,而 messageDigestL20] 则 用 于 存放 消息 摘要 。 
SHA_1 类 中 各 成 员 函 数 的 作用 如 下 : 
* reset() 一 一 用 于 重 置 结构 体 Context 中 的 各 成 员 变量 。 
° initW() 一 一 用 于 初始 化 消息 扩展 的 字 。 
leftShift() 一 一 实现 32 位 字 的 循环 左 移 。 
transformHash( ) 一 一 用 于 计算 哈 希 值 。 
用 于 进行 消息 填充 。 
* input() 一 一 用 于 获取 输入 , 即 获得 需要 计算 哈 希 值 的 字符 串 。 
result() 一 一 完成 哈 希 值 的 计算 ,并 将 哈 希 值 转换 为 字符 型 数据 作为 输出 。 
* test() 一 一 用 于 驱动 测试 过 程 。 
° display() 一 一 用 于 显示 计算 得 到 的 哈 希 值 。 


18.2.2 数据 初始 化 


SHA_1 类 的 数据 初始 化 工作 由 resetO ,initW() 和 input() 等 若干 函数 来 实现 ,同时 还 
需要 初始 化 常量 Kt。 各 函数 在 计算 过 程 的 不 同 阶段 实现 对 不 同 数据 初始 化 ,其 作用 各 不 相 
F]. reset 函数 主要 用 于 初始 化 Context 结构 体 中 的 各 成 员 变 量 ,reset() 函 数 的 详细 代码 
见 程序 清单 18-2。 

程序 清单 18-2 


Ol void SHA_1::reset (Context * context) 
2 { 


* padMessage() 
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03 context— > low- 0; 

04 context- > high- 0; 

05 context- > bufferIndex- 0; 

06 context- > hash[0]= 0x67452301; 
07 context- > hash[1]= OxEFCDAB89; 
08 context- > hash [2]= 0x98BADCFE; 
09 context- > hash [3]= 0x10325476; 
10 context- > hash [4]= OxC3DOETF0; 
11 context- > camputed= 0; 

12 } 


reset O 函数 在 初始 化 过 程 中 并 没有 初始 化 Context 结构 体 中 的 buffer[64] 数 组 ,该 数 
组 在 计算 哈 希 值 过 程 中 进行 初始 化 ,最 终 由 输入 的 数据 ,填充 的 数据 和 附加 的 数据 长 度 确 
定 。 计 算 哈 希 值 的 缓冲 与 MD4 与 MDS 算法 相 比 ,增加 了 第 5 个 数据 缓冲 。 

在 计算 输入 消息 的 哈 希 值 之 前 ,还 需要 初始 化 wt, wt 数据 初始 化 实际 上 是 由 
buffer[64] 数 组 确定 ,这 部 分 的 功能 通过 函数 init W O SEHR init W O PR Ἐς AY TE A {ΕΤ W 


程序 清单 18-3 。 
程序 清单 18-3 
Ol void SHA_1::initW(unsigned char * input) 
0 ( 
03 word i; 
04 for(i=0;i< 16;i++) 
05 { 
06 wt[i]- input[i* 4]«« 24; 
07 wt [i] |= input[i* 4+ 1]<< 16; 
08 wt [i] |= input [i* 4+2]<< 8; 
09 wt [i] |= input [i* 4+ 3]; 
10 } 
11 for (i= 16;i< 80;i++) 
12 { 
13 wt [i]= leftShift ( (wt [i- 3]^wt [i- 8]^wt [i- 14]^wt [i- 16]),1); 
14 ) 
15 } 


wt 初始 化 分 为 两 部 分 ,一 部 分 是 直接 将 输入 的 64 个 unsigned char 数据 直接 转化 为 
32 位 的 word 型 数据 ,转化 的 具体 方法 如 图 18-6 


wt 
] 所 示 。 
«2 每 次 运算 过 程 是 将 4 个 unsigned char 型 数据 转 
"m 换 为 1 个 word32 型 数据 , 共 进 行 16 次 运算 ,获得 
s wi[0]— wt[15]. wt[16] 一 wt[79] 是 通过 wt [0] — 
wt[15] 的 对 应 数据 进行 “ 异 或 "运算 ,并 将 计算 得 到 的 
结果 进行 循环 左 移 后 获得 。 在 计算 [16] wt 79] 


图 18-6 νι 移 位 运算 过 程 示意 图 ”的 过 程 中 使 用 了 循环 左 移 函 数 ,循环 左 移 函 数 的 详细 
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代码 见 程 序 清单 18-4。 

程序 清单 18-4 

Ol word32 SHA_1::leftShift (word32 in,int n) 

ο { 

03 return (in<<n) | (in>> 32- n); 

04 } 
input() 函 数 在 计算 过 程 中 用 于 初始 化 ,input() 将 在 计算 哈 希 值 过 程 中 进行 介绍 。 
在 初始 化 过 程 中 还 需要 对 常量 Kt 进行 初始 化 ,常量 Kt 的 初始 化 见 程序 清单 18-5。 
程序 清单 18-5 


Ol const word32 SHA 1::Kt[4]- { 
02 0x5A827999, ΟΧΘΕΡΘΕΕΑΙ, Ox8FIBBCDC, OxCA62C1D6}; 


18.2.3 哈 希 值 计算 过 程 的 实现 


哈 希 值 的 计算 过 程 为 : 处 理 输 入 数据 , 当 数据 达到 64 个 字 节 (512) 时 就 计算 哈 希 值 , 若 数 
据 长 度 达 不 到 64 字 节 时 ,就 进入 最 后 处 理 , 最 后 处 理 过 程 包括 数据 填充 和 附加 输入 数据 的 长 
度 ,然后 计算 哈 希 值 。 这 些 功能 分 别 通过 函数 transformHash(),padMessage(),input() 和 
result() 实 现 。 

transformHash() 函 数 是 计算 哈 希 值 的 核心 函数 ,该 函数 共 包 含 4 36 80 次 运算 ,通过 4 
轮 80 次 运算 完成 一 组 数据 的 计算 ,transformHash() 隐 数 的 详细 代码 见 程 序 清单 18-6。 


程序 清单 18-6 


Ol void SHA_1::transformHash (Context κ context) 


a2 { 

03 word32 A,B,C,D,E; 

04 word32 i; 

05 word32 temp; 

06 initW(context- > buffer) ; 
07 B= context- > hash[0] ; 

08 B= context- > hash[1]; 

09 C= context- > hash[2] ; 

10 D= context- > hash[3]; 

1 E= context- > hash[4]; 

12 for (i= 0;i« 20;i+ +) 

B { 

14 temp- leftShift (A,5)+ ((B&C) | ((~ B)&D))+ E+ wt [111 Kt [0]; 
15 E-D; 

16 D-C; 

17 C- leftShift (B,30); 
18 BA 

19 B= temp; 
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BE 


94 o} 


transformHash O 函数 的 参数 为 Context Zl T4 fk. transformHash O PR Zi] 16 # (HSE 
分 为 3 个 部 分 ,首先 将 Context 结构 体 的 哈 希 值 数据 缓冲 赋 给 临时 变量 A B.C. D 和 下 , 然 
后 经 过 4 轮 80 次 运算 ,最 后 计算 得 到 Context 结构 体 的 哈 希 值 。 在 每 一 轮 的 计算 过 程 中 ， 
均 经 过 20 次 运算 ,每 轮 运算 方法 与 常量 各 不 相同 。 在 计算 过 程 中 使 用 了 循环 左 移 运算 ,该 


for (i= 20;i< 40;i+ +) 


{ 


} 


temp- leftShift (A,5)+ (B^C^D)+ Er wt [i]+ Kt[1]; 
ED 


for (i= 40;i« 60;i* +) 


{ 


} 


tenp- leftShift (A,5)+ ( (BSC) | (B&D) | (C&D) )+ E+ wt [i]+ Kt [2]; 
ED 


for (i= 60;i< 80;i++) 


{ 


} 


temp= leftShift (A,5)+ (B^C^D)+ E+ wt [i]+ Kt[3]7 
E-D; 

D-C; 

C= leftshift (B, 30); 

B=A; 

>= temp; 


context- > hash[0]+ =A; 
context- > hash[1]+=B; 
context- > hash[2]+ = C; 
context- > hash[3]+ = D; 
context- > hash[4]+ = E; 
context- > bufferIndex- 0; 


运算 过 程 与 初始 化 过 程 中 的 循环 左 移 实现 方法 相同 。 


在 喻 希 值 计算 过 程 中 还 需 用 到 数据 填充 和 附加 函数 ,数据 填充 和 附加 通过 函数 


padMessage() 实 现 ,padMessage() 的 详细 代码 见 程 序 清单 18-7。 
程序 清单 18-7 


0l void SHA_1::padMessage (Context * context) 


18.2 SHAT 算法 实现 807. 


吧 { 

03 if(context- > bufferIndex> 55) 

04 { 

05 context- > buffer [context- > bufferIndext + ]= 0x80; 
06 while (context- > bufferIndex« 64) 

07 { 

08 context- > buffer [context— > bufferIndext + ]- 0; 
09 } 

10 ttransformHash (context) ; 

11 while (context- > bufferIndex« 56) 

12 { 

13 context- > buffer [context- > bufferIndex+ + ]= 0; 
14 } 

15 } 

16 else 

17 { 

18 context- > buffer [context- > bufferIndex+ + ]= 0x80; 
19 while (context- > bufferIndex« 56) 

20 t 

21 context- > buffer [context- > bufferIndex+ + ]- 0; 
2 } 

23 } 

24 context- > buffer [56]= context- > high>> 24; 

25 context- > buffer [57]= context- > high>> 16; 

26 context- > buffer [58]= context- > high>> 8; 

27 context- > buffer [59]= context- > high; 

28 context- > buffer [60]= context- > low>> 24; 

29 context- > buffer [61]= context- > low>> 16; 

30 context- > buffer [€2]= context- > low>> 8; 

31 context- > buffer [63]= context- > low; 

3 transformHash (context) ; 

3 } 


消息 填充 和 消息 附加 的 过 程 是 根据 Context 结构 体 中 的 buffer 的 长 度 来 确定 , 当 填 充 
完毕 之 后 就 由 transformHash() 函 数 计算 喻 希 值 ,更 新 Context 结构 体 ,直到 全 部 处 理 完 
毕 。SHA_1 算 法 的 输入 数据 是 必须 经 过 填充 的 , 当 输 入 数据 的 长 度 小 于 56 字 节 时 , 先 将 消 
息 填充 到 56 字 节 长 度 , 然 后 填充 数据 长 度 , 计 算 哈 希 值 ,否则 先 将 当前 分 组 填充 到 64 字 节 ， 
计算 哈 希 值 ,然后 再 将 下 一 分 组 填充 到 56 字 节 ,之 后 附加 消息 长 度 ,计算 喻 希 值 。 第 3 行 代 
码 到 第 15 行 代码 用 于 处 理 输入 数据 的 长 度 大 于 55 字 节 的 情况 ,第 16 行 代码 到 第 22 行 代 
码 是 处 理 输入 数据 小 于 或 等 于 55 字 节 的 情况 。 程 序 清单 中 的 第 23 行 到 第 30 行 代码 是 附 
加 输入 数据 的 长 度 ,在 附加 数据 长 度 时 需要 将 32 位 的 word32 型 数据 转换 为 8 位 的 
unsigned char 型 数据 ,其 方法 是 每 次 取出 其 中 的 8 位 数据 。 

input O 函数 的 功能 是 读 取 待 计算 喻 希 值 的 消息 ,input() 函 数 的 详细 代码 见 程 序 清 
单 18-8。 
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程序 清单 18-8 


Ol void SHA_1::input (Context * context,const unsigned char κ messageInput,word3? length) 


02 
03 


input O 函数 的 参数 是 Context Z& FA IK Hi A AUT ALA EAR BE. input O PR BCS Arb ΒΒ 
过 程 为 : 当 消息 还 没有 处 理 完 成 时 , 读 入 消息 ,并 将 消息 存储 到 Context 结构 体 的 buffer 数 


{ 


} 


while (length- - ) 


{ 


context- > buffer [context- > bufferIndext + ]= κ messageInput&0xFF; 
context- > lowt = 8; 
if (context- > low-- 0) 
t 
context- > hight +; 
} 
if (context- > bufferIndex- = 64) 
t 
transfomHash (context) ; 
} 
messageInputt + 7 


组 中 , 当 Context 结构 体 的 buffer 数组 长 度 达 到 640512 位 ) 时 , 则 计算 哈 希 值 。 


在 input() 函 数 中 ,第 7 行 代码 的 作用 是 每 读 入 一 个 字 节 , 则 总 数 的 低位 加 8, 这 是 字 节 
与 位 区 别 形成 的 结果 ,第 8 行 代码 到 第 11 行 代码 是 处 理 进位 问题 ,第 12 行 代码 到 第 15 行 


代码 的 作用 是 每 读 入 64 字 节 的 数据 则 计算 一 次 哈 希 值 。 


result() 函 数 的 功能 是 处 理 最 后 的 计算 结果 ,并 将 word32 型 消息 摘要 转换 为 unsigned 


char 型 消息 摘要 ,result() 函数 的 详细 代码 见 程 序 清单 18-9。 


程序 清单 18-9 
Ol void SHA_1::result (Context κ context,unsigned char * digest) 
a { 
03 int i; 
04 if (!context- > computed) 
05 { 
06 padMessage (context); 
07 flor (i= 0;i« 6471+ +) 
08 { 
09 context- > buffer [i]=0; 
10 } 
u context- > low= 0; 
12 context- > high= 0; 
13 context- > camputed= 1; 


18.2 SHA 算法 实现 309. 


15 for (i= 0;i< 20;i++) 

16 { 

17 digest[i]- context- > hash[i»» 2]»» 8* (3- (180x03)); 
18 } 

19 } 


result() 函 数 首先 判断 最 后 部 分 消息 是 否 已 经 计算 哈 希 值 , 若 没有 计算 , 则 填充 并 计算 
哈 希 值 , 计 算 完 成 后 ,将 哈 希 值 的 数据 缓冲 转换 为 unsigned char 型 消息 摘要 ,转换 过 程 见 代 
码 行 的 第 15 行 到 第 18 行 。 在 代码 行 第 17 行 中 ,i 之 之 2 相当 于 4, 而 之 之 8* (3 一 
(i&.0x03)) 的 作用 是 先 取 高 8 位 ,并 逐步 向 低位 运行 ,每 次 取 8 位 ,例如 , 当 i=0 时 ,相当 于 
hash[0]>>24, i=1 时 ,相当 于 hash[0]>>16, UHE. 


18.2.4 测试 与 输出 


测试 和 输出 通过 函数 test All display() 来 完成 ,由 主 函数 main() 来 驱动 。 
test O 函数 的 详细 代码 见 程序 清单 18-10. 


程序 清单 18-10 


Ol void SHA_1::test (char * newInput) 


02 { 

03 cout<< "message Ñ ""<< newInput«« "N ") "<< endl; 
04 Context context; 

05 word32 length; 

06 length- strlen (newInput) ; 
07 reset (&context) ; 

08 input (&context, (const unsigned char * )newInput, length); 
09 result (&context messageDigest) ; 

10 display (); 

n. ἡ 


test O PACH ἈΠ) ΠΗ reset O 函数 ,对 Context 结构 体 进行 初始 化 操作 ,然后 读 取 输 入 消 
息 并 计算 消息 摘要 ,最 后 将 消息 摘要 输出 。 消 息 摘 要 由 函数 display() 完 成 ,display() 函数 
的 详细 代码 见 程序 清单 18-11。 


程序 清单 18-11 
Ol void SHA_1::display() 
0 { 
03 word32 i; 
04 cout«« "digest ("; 
05 for (i= 071« 20;i++) 
06 t 
07 cout«« hex«« int (messageDigest [1] ) «« " "; 
08 } 
09 cout«« ") "<< endl; 
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display O PA Z BJ D fe (ETH E. 98 1 16 进 制 的 形式 输出 。 
main O 函数 最 终 执行 整个 测试 的 驱动 ,main() 函数 的 详细 代码 见 程序 清单 18-12. 


程序 清单 18-12 
0l int main() 
2 { 
03 SHA_1 sha; 
04 sha.test ("The quick brown fox jumps over the lazy dog"); 
05 sha.test ("Ihe quick brown fox jumps over the lazy cog"); 
06 sha.test (""); 
07 sha.test ("abc") ; 
08 retum 0; 


09 } 


main O 函数 的 测试 用 例 选 用 的 是 参考 文献 [70] 和 [71] 中 的 测试 用 例 , 具 体 测 试 结果 
如 下 : 


message ("The quick brown fox jumps over the lazy dog") 

digest (26 d4 el c6 7a 2d 28 fc ed 84 9e el bb 76 e7 39 1b 93 eb 12) 

message ("The quick brown fox jumps over the lazy cog") 

digest (de 9f 2c 7f d2 Se 1b 3a fa d3 68 58 b dl 7d 9b 10 d b4 b3) 

message ("") 

digest (da 39 a3 ee Se éb 4b d 32 55 bf ef 95 60 18 90 af d8 7 9) 

message ("abc") 

digest (a9 99 3e 36 47 6 81 6a ba 3e 25 71 78 50 c2 6c 9c d0 d8 9d) 

测试 结果 与 文献 中 的 测试 结果 一 致 。 

在 前 两 项 的 测试 用 例 中 , 仅 将 最 后 的 "dog” 改 为 “cog”, 而 计算 得 到 的 结果 则 完全 不 同 。 


18.3 习题 与 实践 题 


18.3.1 习题 


1. 简要 说 明 SHA-1 计算 哈 希 值 过 程 中 的 每 步 操 作 的 基本 结构 ( 见 图 18-1) ,并 说 明 计 
算 方法 。 
2. 简要 说 明 SHA-1 算法 的 4 轮 运算 模块 的 运算 原理 。 


18.3.2 实践 题 


参考 18. 2 节 的 SHA-1 算法 的 实现 过 程 ,编程 实现 SHA-1 算法 ,要 求 : 待 计算 哈 希 值 
的 数据 从 相应 的 文件 读 取 , 计 算得 到 的 哈 希 值 存储 到 相应 的 文件 。 


RIPEID- 160 算法 


RIPEMD 散 列 算 法 是 一 系列 散 列 算法 ,是 欧洲 RIPECRACE Integrity Primitives 
Evaluation) 计 划 下 在 Leuven Belgium( 和 鲁 汶 ,比利时 ) 由 一 组 研究 人 员 设 计 的 。 最 初 该 算法 
是 128 位 长 度 的 ,在 经 过 改造 后 成 为 160 位 的 。 


19.1 RIPEMD-160 算法 原理 


RIPEMD-160 算法 的 输入 长 度 可 以 是 任意 位 的 ,以 512 位 的 分 组 进行 处 理 , 输 出 的 是 
160 位 (5 个 32 位 的 字 ) 组 成 的 消息 摘要 。RIPEMD-160 算法 是 在 大 量 研究 MD4 和 MDS 
算法 基础 上 设计 的 ,算法 的 基本 过 程 也 与 MDS 算法 类 似 。RIPEMD-160 算法 实施 的 基本 
过 程 如 下 : 

(1) 消息 填充 

对 需要 计算 消息 摘要 的 消息 进行 填充 ,使 填充 后 的 长 度 满足 : 长 度 三 448 mod 512.311 
长 度 已 经 满足 上 述 条 件 ,仍然 需要 进行 填充 , 即 填充 512 位 ,填充 数据 的 长 度 在 1 位 至 512 
位 之 间 ,填充 的 第 1 位 为 "1”, 其 他 位 为 "0”。 

(2) 长 度 填充 

经 过 填充 后 的 消息 长 度 与 分 组 长 度 相差 64 位 ,该 64 位 填充 的 内 容 为 : L mod 2* ,其 中 
L 为 消息 的 长 度 。 

(3) 初始 化 MD 缓冲 区 

RIPEMD-160 算法 的 消息 摘要 存储 在 160 位 的 缓冲 区 中 ,该 缓冲 区 用 5 个 32 位 的 寄存 
4 A,B,C,D 和 表示 ,这 5 个 值 与 SHA-1 算法 的 5 个 值 相同 ,分 别 为 


(4) 轮 运算 
这 步 是 以 16 个 字 (512 位 ) 为 分 组 进行 的 运算 ,是 RIPEMD-160 算法 的 核心 。10 轮 运 
算 共 分 为 2 组 ,每 组 5 轮 ,每 轮 执行 16 步 运 算 , 具 体 运算 过 程 如 图 19-1 所 示 。 
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Ca 


图 19-1 RIPEMD-160 算法 分 组 运算 过 程 


运算 结果 可 以 表示 如 下 : 
CV,a[0]— CV,[1]4- C4- D' 
CV. [1]=CV,.,[2]+D+E' 
CV. [2]=CV,[3]+E+A' (ΠΗ 
CVa [3]=CV,[4]+A+B' 
CV [4]=CV,[0]+B+C' 
RIPEMD-160 算法 的 分 组 运算 分 为 左 . 右 两 部 分 ,每 部 分 又 分 为 5 轮 运算 ,每 轮 运算 又 
分 为 16 步 ,每 轮 运 算 中 使 用 的 基本 逻辑 函数 是 fa o foe fi. fao fs IE ELE SR PRIUS LE Ae fi 
两 半 正 好 相反 。 
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‘313, 


各 逻辑 函数 的 运算 方式 如 下 : 

δια.) = z Oy@z 

f:(z,y,z) = (x Ny) V z Az) 

fs(z,y,z) = (z V w) @z (19-2) 

αγ) = (z À z) V (y Á —) 

fs(z,y,z) = = @ (y V —) 

各 f 函数 在 各 轮 中 的 使 用 由 表 19-1 给 出 。 
表 19-1 不 同 轮 次 的 了 常量 使 用 
第 1 轮 第 2 轮 第 3 轮 第 4 轮 第 5 轮 

左 半 部 分 万 fe fs f. fs 
右 半 部 分 fs f. fs f: f 


在 每 轮 运算 中 又 分 为 相似 的 16 步 运算 ,每 步 运算 将 结果 循环 右 移 ,每 步 运算 的 具体 方 
法 如 图 19-2 所 示 。 


图 19-2 RIPEMD-160 每 步 运算 过 程 


每 步 的 运算 过 程 可 以 表示 为 
Α:ΞΕ 
B:— (A+ f(B,C,D + X+K) <<< s +E 
C:=B (19-3) 
D := C<<< 10 
E:=D 


在 每 步 运算 过 程 中 使 用 了 常量 ,不 同 轮 次 和 左右 各 半 的 常量 各 不 相同 ,各 轮 中 使 用 的 
K 常量 的 具体 值 由 表 19-2 给 出 。 

在 计算 过 程 中 还 用 到 了 另 一 个 变量 X, 在 计算 过 程 中 将 每 次 要 处 理 的 512 位 分 组 以 
word 格式 存储 到 X[0…15] 数 组 中 .各 字 的 基本 置换 顺序 由 表 19-3 给 出 。 
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X192 HEK 
ra 左 半 部 分 右 半 部 分 
t 

计算 方法 十 六 进 制 ( 取 整 ) 计算 方法 十 六 进 制 ( 取 整 ) 

第 1 36 0 0x00000000 29347 0x50A28BE6 
第 2 轮 22/2 0x5A827999 25595 Ox5CADDI24 
第 3 轮 2943 Ox6ED9EBAI 2935 0x6D703EF3 
第 4 轮 2945 0x8F1BBCDC 2307 0x7 A6D76E9 
第 5 轮 2/7 0xA953FD4E 0 0x00000000 

表 19- 置换 顺序 


ei) 7 4 13 1 10 6 15 3 12 0 9 5 2 14 1 8 


设 π(1) =91 +5, IBA SE PS 8032358 HH HE 19-4 给 出 。 
X394 各 轮 置换 算法 


第 1 轮 第 2 轮 第 3 轮 第 4 轮 第 5 轮 
ΞΕ i > E 2 7 
右 半 部 分 π pr px px px 


对 经 过 置换 的 字 还 需要 进行 循环 左 移 ,循环 左 移 具体 位 数 见 表 19-5. 
表 19-5 ”循环 左 移 


轮 
1 
2 
3 
4 
5 


σι o -ᾱ wl 


(5) 输出 
在 处 理 完 所 有 分 组 之 后 ,最 后 分 组 的 输出 就 是 160 位 的 消息 摘要 。 


19.2) RIPEMD-160 算法 实现 


RIPEMD-160 算法 的 实现 包括 数据 初始 化 .计算 哈 希 值 . 数 据 输 出 和 数据 测试 等 儿 部 
分 组 成 ,各 成 员 变量 和 成 员 函 数 都 封装 在 RIPEMD160 类 中 。 


19.2.1 RIPEMD-160 算法 实现 的 基本 结构 


RIPEMD-160 算法 的 基本 数据 单元 仍然 是 32 位 的 数据 ,在 RIPEMD-160 算法 的 实现 
过 程 中 仍然 使 用 word32 型 数据 ,其 声明 如 下 : 


typedef unsigned int word32; 


RIPEMD-160 算法 各 基本 功能 的 实现 和 相应 的 变量 均 封 装 在 RIPEMDI60 类 中 ， 


19.2 RIPEMD-160 算法 实现 


RIPEMD160 类 的 基本 结构 如 图 19-3 Bron 。 


RIPEMD160 


- hashBuffer|5] : word32 


ἘΦ} ἘΔ BOR ESE 


hashCode[20] : unsigned char 


F (word32 x, word32 y, word32 z) 

G (word32 x, word32 y, word32 z) 

H (word32 x, word32 y, word32 z) 

1 (word32 x, word32 y, word32 z) 

J (word32 x, word32 y, word32 z) 

leftS hift (word32 x, word32 n) 

FF (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) 

GG (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) 

HH (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) 

Il (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) 

JJ (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) 

FFF (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) 
GGG (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) : 
HHH (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) : 
TMI (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) : void 
JJJ (word32 &a, word32 b, word32 &c, word32 d, word32 e, word32 x, word32 s) : void 


initHashBuffer () : void 
hashProcess (word32 * mdBuffer, word32 * X) : void 
finish (word32 *mdBuffer, unsigned char *strIn, word32 length) : void 
MD (unsigned char * message) : void 


mdDisplay () : void 
byte ToWord (unsigned char *str) : word32 


图 19-3 RIPEMD160 类 的 基本 结构 


RIPEMD160 类 的 具体 声明 见 程序 清单 19-1. 
程序 清单 19-1 


Ol class RIPEMDI60 


02 


{ 


public: 

word32 F (word32 x,word32 y,word32 z); 

word32 G(word32 x, word32 y,word32 z); 

word32 H (word32 x,word32 y,word32 z); 

word32 I (word32 x,word32 y,word32 z); 

word32 J (word32 x,word32 y,word32 z); 

word32 leftShift (word32 x,word32 n); 

void ΕΕ (word 68, word?2 b,word32 &c,word32 d word e,word32 x,wordi? s); 

void GG (word32 &a,word32 b,word32 &c,word32 d,word32 e,word32 x, 
word32 s); 

void HH (word32 &a,word32 b,word32 &c,word32 d,word32 e,word32 x, 
word? s); 

void II(word2 &a,word2 Ὁ, word &c,wordi dword32 e, worda x,word s); 

void JU (word) &a,word2 b, word &c,wordi? dwordB2 e,word x,wordi s); 

void FFF (word32 &a,word32 b,word32 &c,word32 d, 
word2 e,word32 x,word32 s); 


` 
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39 void G3G(word32 &a,word32 b,word32 &c,word32 d, 
20 word32 e,word32 x,word32 s); 

a void HHH (word32 &a,word32 b,word32 &c,word32 d, 
22 word2 e,word32 x,word32 s); 

23 void III(word32 &a,word32 b,word32 &c,word32 d, 
24 word2 e,word32 x,word3 s); 

25 void JJJ (word32 &a,word32 b,word32 &c,word32 d, 
26 word32 e, word32 x,word32 s); 

21 void initHashBuffer () ; 

28 void hashProcess (word32 * mdBuffer,word32 κ X); 
29 void finish(word32 * mdBuffer,unsigned char κ strIn,word32 length); 
30 void MD(unsigned char * message); 

31 void miDisplay () ; 

2 word32 byteToWord (unsigned char * str); 

= private: 

34 word32 hashBuffer [5] ; 

35 unsigned char hashCode [20]; 

36 y 


在 RIPEMDI60 类 中 ,成 员 变量 hashBuffer[5] 适 用 于 计算 哈 希 值 的 缓冲 , hashCode 
[20] 适 用 于 存储 计算 得 到 的 哈 希 值 。 
RIPEMD160 类 的 各 成 员 函 数 的 作用 如 下 : 
* FO.GO.HO.1O ,JO 一 一 对 应 算法 中 的 fio f; 函数 ,执行 相应 的 逻辑 运算 。 
。FFO,GGO ,HHO,IIO,JJO 一 一 左 半 部 分 的 各 轮 运算 。 
。FFFO,GGGO ,HHHO,I1O,JJJO 一 一 右 半 部 分 的 各 轮 运算 。 
。 leftShift() 一 一 word32 型 数据 的 循环 左 移 。 
initHashBuffer() 一 一 初始 化 计算 哈 希 值 用 数据 缓冲 。 
* hashProcess() 一 一 计算 哈 希 值 的 函数 。 
。 finish() 一 一 完成 最 后 一 轮 哈 希 值 计算 。 
。 MD() 一 一 运行 对 应 消息 的 哈 希 值 计算 。 
。 byteToWord() 一 一 将 字 节 型 数据 转化 为 word32 型 数据 。 
。 mdDisplay() 一 一 显示 最 终 的 计算 结果 。 


19.2.2 数据 初始 化 


数据 初始 化 主要 任务 是 初始 化 计算 哈 希 值 用 的 数据 缓冲 ,数据 初始 化 通过 初始 化 函数 
initHashBuffer() 完 成 ,initHashBuffer() 函 数 的 详细 代码 见 程序 清单 19-2。 


程序 清单 19-2 
ΟΙ void RIPEMDI60: :initHashBuffer () 
2 { 
03 hashBuffer [0]= 0x67452301; 
04 hashBuffer [1]= OxEFCDAB89; 
05 hashBuffer [2]= Ox98BADCEE; 


06 hashBuffer [3]= 0x10325476; 
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07 hashBuffer [4]= 0xC3D2E1F0; 
08 } 


RIPEMD-160 算法 的 数据 缓冲 初 值 与 SHA-1 算法 的 数据 缓冲 的 初 值 相同 。 


19.2.3 辅助 函数 的 实现 


RIPEMD-160 算法 的 辅助 函数 包括 基本 的 逻辑 运算 函数 、 左 半 部 分 的 计算 函数 和 右 半 部 
分 的 计算 函数 组 成 。 基 本 的 逻辑 函数 包括 FO 〇 函数 .GO 函数 .HO 函数 .I 〇 函数 和 J]O 〇 函数。 

FO 函数 的 实现 代码 见 程 序 清单 19-3。 

程序 清单 19-3 

Ol word32 RIPEMD160::F (word32 x,word32 y,word32 z) 

a2 { 

03 retum x^y^z; 

0 } 

G0 函数 的 详细 代码 见 程 序 清单 19-4. 

程序 清单 19-4 

Ol word32 RIFEMD160::G (word32 x,word32 y,word32 z) 

et 

03 return (x&y)| (~ x&z); 

0 } 

HO AŽ EE AL FCR WEF 19-5. 

程序 清单 19-5 


Ol word32 RIPEMDI60: :H (word32 x,word32 y,word32 z) 
0 { 

03 retum (xl^ y) Z; 

0 } 


IO 函数 的 详细 代码 见 程序 清单 19-6 。 
程序 清单 19-6 


Ol word32 RIPEMD160: :1 (word32 x,word32 y,word32 z) 
a { 

03 retum (x&z) | (y& z); 

04 } 


JO 〇 函数 的 详细 代码 见 程序 清单 19-7. 
程序 清单 19-7 


Ol word32 RIPEMDI60: :J (word32 x,word32 y,word32 z) 
a { 

03 retum x^(yl^ z); 

0 } 
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以 上 5 个 函数 实现 RIPEMDI60 算法 的 5 个 基本 逻辑 运算 。 
左 半 部 分 各 轮 的 基本 计算 过 程 通过 函数 FF(O) .GG()、HHO ,H ORI JJO PRICE... 
FFO 函数 的 详细 代码 见 程 序 清单 19-8。 


程序 清单 19-8 


01 void RIPEMDI60: :FF (word32 &a,word32 b,word32 &c,word32 d, 
02 word32 e,word32 x,word32 s) 
0 ( 

04 at =F (b,c,d)+ x; 

05 a= leftShift (a,s)+ e; 

06 c= leftShift (c, 10); 

0 ) 


FFO 函数 在 运算 过 程 中 使 用 了 FO 函数 ,F() 函 数 的 参数 为 计算 哈 希 值 的 数据 缓冲 , 参 
ἈΚ x 是 以 word32 形式 表示 的 输入 的 消息 ,参数 s 是 用 于 循环 移 位 的 参数 , 即 循环 左 移 的 大 
小 。 在 第 1 轮 运算 过 程 中 由 于 常量 K=0, 因 此 ,在 函数 实现 过 程 中 没有 出 现 常量 K。 
WEA Ze ΡΑΧΧ leftShift() 的 详细 代码 见 程序 清单 19-9 。 


程序 清单 19-9 


word32 ΕΤΡΕΜΡΙ 60: :leftShift (word32 x,word32 n) 
t 
return (x««n)|x»» (2-n); 


geese 


} 


GGO 〇 函数 的 实现 方法 与 FFO 〇 函数 的 实现 方法 类 似 ,函数 参数 也 相同 。GG() 函 数 的 详 
细 代 码 见 程序 清单 19-10。 


程序 清单 19-10 


OL void RIPEMDLE0: :GG (word32 &a,word32 b,word32 &c,word32 d, 
word32 e,word32 x,word32 s) 
{ 
at=G(b,c,d)+ x+ 0x5A827999; 
a- leftShift (a,s)+ e; 
c leftShift (c, 10) ; 


$9288 


0 } 


与 FFO pa BCH EE GG O pa BUH ΥΓ 0x5A827999 ,该 参数 为 常量 K。 其 他 部 分 与 FFO 
函数 基本 相同 。 
HHO 〇 函数 的 详细 代码 见 程 序 清单 19-11。 


程序 清单 19-11 


ΟΙ void RIPEMDI60: :HH (word22 &a,word32 b,word32 &c,word32 d, 
02 word e,word2 x,word32 s) 

03 ( 

04 at+=H(b,c,d)+ x+ OxGD9EPAL; 
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05 a= leftShift (a,s)+ e; 
06 c leftShift (c, 10); 
07 } 


II 〇 函数 的 详细 代码 见 程 序 清单 19-12. 
程序 清单 19-12 
OL void RIFEMD160::IT (word32 &a,word32 b,word32 &c,word32 d, 


02 word32 e,word32 x,word32 s) 


03 

04 at =I1(b,c,d)+ x+ OxSFIBBCDC; 
05 a= leftShift (a,s)+ e; 

06 c= leftShift (c, 10); 

ο } 


JJO 〇 函数 的 详细 代码 见 程序 清单 19-13. 
程序 清单 19-13 


0l void RIFEMD160::JJ (word32 &a,word32 b,word32 &c,word32 d, 


02 word32 e,word32 x,word32 s) 
03 ( 

04 at =J(b,c,d)+ x+ 0xA953FD4E; 

05 a= leftShift (a,s)+ e; 

06 c leftShift (c, 10); 

0; ) 


右 半 部 分 各 轮 的 基本 计算 过 程 通过 函数 FFFO .GGGO  HHH O TITO ll ΠΟΘΕΝ, 
只 是 在 使 用 过 程 中 与 左 半 部 分 的 使 用 顺序 正好 相反 。 各 函数 与 左 半 部 分 各 函数 的 实现 方法 
类 似 。 
FFF() 函 数 的 详细 代码 见 程 序 清 单 19-14. 
程序 清单 19-14 


Ol void RIPEMD160: :FFF (word32 &a,word32 b,word32 &c,word32 d, 
word32 e,word32 x,word32 s) 


at =F(b,c,d)+ x; 
a= leftShift (a,s)* e; 
c= leftShift (c, 10); 


$8288 


ο 1 
GGGO 函数 的 详细 代码 见 程 序 清单 19-15。 
程序 清单 19-15 


01 void RIPEMDI60: :G3G (word32 &a,word32 b,word32 &c,word32 d, 
02 word2 e,word2 x,word s) 

0 ( 

04 at=G(b,c,d)+ x+ 0x7AGD76F9; 


i 320° $ 19% RIPEMD-160 算法 


05 a= leftShift (a,s)+e; 

06 c= leftShift (c, 10); 

07 1 

HHHO 〇 函数 的 详细 代码 见 程序 清单 19-16。 
程序 清单 19-16 

OL void ΕΤΡΕΜΟΙ 60: :HHH (word32 &a,word32 b,word32 &c,word32 d, 
02 word32 e,word32 x,word32 s) 

03 { 

04 at =H (b,c,d)+ x+ OxGD703EF3; 

05 a= leftShift (a, s) e; 

06 c= leftShift (c, 10) ; 

07 1 

ΠΙΟ 函数 的 详细 代码 见 程序 清单 19-17. 
程序 清单 19-17 


Ol void RIPEMDI60: :III (word32 &a,word32 b,word32 &c,word32 d, 


02 word32 e,word32 x,word32 s) 

03 ( 

04 at -I(b,c,d)* x+ 0x5C4DD124; 

05 a= leftShift (a, s) * e; 

06 ο- leftShift (c, 10) ; 

07 ) 

JJJO 〇 函数 的 详细 代码 见 程序 清单 19-18. 
程序 清单 19-18 

Ol void RIPEMD160::JJJ (word32 &a,word32 b,word32 &c,word32 d, 

02 word e,word32 x,word2 s) 

0 { 

04 at = J b,c,d)+ x+ Ox50228BE6; 

05 a= leftShift (a,s)+ e; 

06 ο- leftShift (c, 10); 

ο } 


以 上 各 函数 将 在 具体 计算 消息 的 哈 希 值 时 使 用 。 
19.2.4 哈 希 值 计 算 过 程 的 实现 


哈 希 值 计 算 过 程 的 核心 函数 是 hashProcess O , 它 完成 一 组 消息 的 哈 希 值 计 算 ,该 函数 
的 参数 是 哈 希 值 缓冲 和 需 计 算 哈 希 值 的 消息 分 组 。 
hashProcess() 函数 的 详细 代码 见 程序 清单 19-19 。 


程序 清单 19-19 


001 void RIPEMD160: :hashProcess (word32 * mdBuffer,wordi2 * X) 


002 
003 


word32 aL,bL,cL,dL,eL; 
word32 aR,bR, CR, GR, eR; 
al=mcBuffer [0]; 
bi-miBuffer[1]; 
cl=mBuffer [2]; 
di=mBuffer [3] 
el=mBuffer [4 
aR=mBuf fer [0] 
bR= muffer [1] 
cR- mBuffer [2] 
dR- mBuf fer [3 
eR- mBuffer [4 
FF (aL, bL, CL, dL, eL, X [0], 11) ; 
FF (eL,aL,bL, cL, dL, X(1],14) ; 
FF (dL, eL, aL, BL, cL, X [2], 15) ; 
FF (CL, dL, eL, aL, bL, X[3], 12) 
FF bL, cL, dL, eL, aL, X[4],5) ; 

FE (aL, EL, cL, dL, eL, Χ[5], 8); 

FF (cL, aL, EL, cL, dL, X[6], 7) ; 

ΕΕ (dL, eL, aL, bL, cL, X(7], 9) ; 

FF (cL, dL, eL, aL, bL, Χ[8], 11) ; 
FF (OL, cL, dL, eL, aL, Χ[9], 13); 
ΕΕ (aL, EL, cL, dL, er, X10], 14) ; 
ΕΕ (cL, aL, EL, cL, dL, X11], 15) ; 
FF (dL, eL, aL, bL, cL, X(12],6) ; 
FF (cL, dL, eL, aL, bL, Χ[13], 7) 
FF (OL, cL, dL, eL, aL, X[14],9) ; 
ΕΕ (aL, EL, cL, dL, eL, X[15],8) 7 
GG (eL, aL, BL, cL, d X7], 7) ; 

GG (dL, eL, aL, bL, cL, X [4], 6) ; 

GG (cL, dL, eL, aL, bL, X[13],8) ; 
GG (DL, cL, dL, eL, aL, X[1],13) ; 
GG (aL, bL, cL, dL, eL, Χ[10], 11}; 
GG(eL, aL, bL, cL, dL, X[6], 9) ; 

GG (dL, eL, aL, bL, cL, X[15], 7) ; 
GG (cL, dL, eL, aL, bL, X[3], 15) + 
GS (OL, cL, dL, eL, aL, X [12], 7) ; 
GG (aL, BL, cL, dL, eL, X[0],12) ; 
GS (CL, aL, bL, cL, dL, Χ[9], 15) ; 
GS (dL, eL, aL, BL, cL, X [5], 9) ; 

GS (CL, dL, eL, aL, bL, X [2], 11) ; 
GS (OL, cL, dL, eL, aL, X [14], 7) ; 
GS (aL, EL, cL, d,, er, X [11], 13) 
GS (CL, aL, bL, cL, dL, Χ[8], 12); 
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HB (dL, eL, aL, bL, cL, X[3], 11) 
HB (CL, dL, eL, aL, bL, X[10], 13) ; 
HH (OL, cL, dL, eL, aL, X[14], 6) ; 
HB (aL, EL, cL, dL, eL, X[4], 7) ; 

HH (EL, aL, HL, cLdL, X[9],14) ; 
HH (dL, eL, aL, bL, cL, X[15], 9) ; 
HH (CL, dL, eL,aL,bL,X[8],13) ; 
HH (OL, cL, dL, eL, aL, X[1], 15) ; 
HB (aL, bL, cL, dL, er, Χ[2], 14}; 
HH (EL, aL, EL, cL, dL, X(7],8) ; 

HH (dL, eL, aL, bL, cL, Χ[0], 13) 
HH (CL, dL, eL, aL, bL, X[6], 6) 

HH (GL, cL, dL, eL, aL, X[13],5) ; 
Hi (aL, EL, cL, dL, ez, X[11], 12); 
HH (eL, aL, bL, cL, dL, X[5], 7}; 

HH (dL, eL, aL, bL, cL, X[12],5) ; 
II (cL, dL, eL, aL, bL, X1], 11) ; 
II GL, cL, dL, eL, aL, X[9], 12) ; 
II (aL, bL, cL, dL, e, X [11], 14) ; 
II (GL, aL, bL, cL, dL, X10], 15) ; 
II (dL, eL, aL, bL, cL, X[0], 14) ; 
II (cL, dL, eL, aL, BL, X[8], 15) ; 
II (EL, cL, dL, eL, aL, X[12], 9) ; 
II (aL,bL,cL,dL, eL, X4],8) 

II (GL, aL, bL, cL, db, X [13], 9) ; 
II (dL, eL, aL, bL, cL, X[3], 14) ; 
II (cL, dL, eL, aL, ,,X[7],5) ; 

II GL, cL, dL, eL, aL, Χ[15], 6) ; 
II (aL, bL, cL, dL, eL, X[14],8) ; 
II (eL, aL, bL, cL, dL, X5], 6) ; 

II (dL, eL, aL, EL, cL, X[6],5) ; 

II (cL, dL, eL, aL, BL, X[2], 12) ; 
JJ GL, cL, dL, eL, aL, X[4], 9) ; 

JJ (aL, EL, cL, dL, eL, X[0], 15) 7 
JJ (cL, aL, EL, cL, dL, Χ[5], 5}; 

JJ (dL, eL, aL, bL, cL, Χ[9], 11) 
JJ (CL, dL, eL, aL, bL, X(7], 6) ; 

JJ (GL, cL, dL, eL, aL, X[12],8) 7 
JJ (aL, EL, cL, dL, eL, X[2], 13) 7 
JJ (cL, aL, EL, cL, dL, X[10], 12) ; 
JJ (dL, eL, aL, DL, cL, X[14],5) 
JJ (CL, dL, eL, aL, bL, X[1], 12) ; 
JJ GL, cL, dL, eL, aL, X[3], 13) 7 
JJ (aL, EL, cL, dL, eL, Χ[8], 14) ; 
JJ (GL, aL, EL, cL, dL, X[11], 11) ; 


JJ (dL, eL, aL, bL,cL,X[6], 


JJ (CL, dL, eL, aL, b, X[15 
JJ (GL, cL, dL, eL, aL, X[13 
JJJ (aR, ER, cR, dR, eR, X [5| 


JJJ (dR, eR, aR, ER, cR, X [7| 
JJJ (CR, dR, eR, aR, ER, X [0 
JJJ (ER, CR, R, eR, aR, X [9] 


8); 


,13); 


JJJ (aR, DR, cR, GR, eR, X[2] ,15) 7 
JJJ (eR, aR, bR, CR, GR, X[11] , 15) ; 


JJJ (dR, eR, aR, ER, cR, X[4 


JJJ (eR, aR, ER, cR, dR, X [8 
JJJ (dR, eR, aR, ER, cR, X [1 


JJJ (OR, CR, GR, eR, aR, X[3. 


JJJ (aR, bR, cR, GR, eR, X[12] , 6); 


II (eR, aR, ER, cR, GR, X[6 


III (dR, eR, aR, ER, cR, X[11] , 13); 


III (cR, dR, eR, aR, bR, X[3 
TIT (cR, CR, dR, eR, aR, X[7 
II (aR, DR, CR, dR, eR, X [0 


II (dR, €R, aR, ER, CR, Χ[5 


III (cR, dR, eR, aR, ER, X10] , 11) ; 
III (cR, CR, dR, eR, aR, X[14] , 7) ; 
III (aR,ER, cR, dR, eR, X[15] , 7}; 


III (eR, aR,ER, cR, R, Χ[8 


III (cR, dR, eR, aR, ER, X[4 
III (WR, cR, dR, eR, aR, Χ[9] 
III (aR,ER, CR, dR, eR, X1 
III (eR, aR, bR, cR, dR, X[2 


,15); 
,13); 
,11); 


HHH (dR, eR, aR, ER, cR, X[15], 9) 7 


HHH (CR, dR, eR, aR, ER, X [5. 
HHH (ER, CR, dR, eR, aR, X [1. 
HH (aR,bR, CR, GR, eR, X[3. 
HHH (eR, aR, ER, cR, dR, X [7| 


2} 
Bon 
,11); 
,8); 


HHH (GR, eR, aR, ER, cR, X[14], 6); 


HHH (CR, dR, eR, aR, ER, X [6| 
HHH (ER, CR, dR, eR, aR, X[9] 


“6; 
714); 


HHH (aR,bR, cR, GR, eR, X[11] , 12); 


HEH (eR, aR, ER, R, dR, X [8. 


;13; 
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137 HHH (GR, eR, aR, ER, CR, X[12] , 5) ; 
138 HHH (R, GR, eR, aR, ER, X[2], 14) ; 
139 HHH (ER, CR,GR, eR, aR, X [10], 13) ; 
140 HHH (aR,ER, CR, dR, eR, X[0],, 13) ; 
141 HHH (eR, aR, bR, cR, GR, X[4], 7) ; 
142 HEH (dR, eR, aR, ER, cR,X[13],5) ; 
143 GG (R,dR, eR, aR, bR, X [8] , 15); 
144 GGG (ER, CR, dR, eR, aR, X[6] , 5) ; 
145 GGG (aR, bR, cR, dR, eR, Χ[4], 8); 
146 G (ER, aR, ER, cR, dR, X[1], 11) ; 
147 GGG (GR, eR, aR, ER, cR, X[3] 14) 7 
148 GGG(CR,R, eR, aR,ER, X[11] ,14) ; 
149 GGG ER, CR, GR, eR, aR, X[15] , 6) 7 
150 GGG (aR, bR, cR, dR, eR, X[0], 14); 
151 GGG (eR, aR, ER, cR, GR, Χ[51, 6); 
152 GGG (dR, eR, aR, ER, cR, X [12] , 9) 7 
G(R, R, eR, aR, ER, X [2] ,12) 7 
154 GGG (HR, CR, dR, eR, aR, X [13] , 9) ; 
GGG (aR, ER, CR, GR, eR, X [9] , 13); 
156 GGG (eR, aR, ER, cR, dR, X [7],5) 7 
157 GGG (dR, eR, aR, ER, cR, X [10] , 15); 
158 GGG (CR, GR, eR, aR, ER, X [14] , 8) ; 
159 FEF (oR, CR, dR, eR, aR,X[12],8) ; 
160 FFF (Ε.Β, CR, dR, eR, X[15] , 5) ; 
161 EEF (cR, aR, bR, CR, GR, Χ[10], 12) ; 
162 EEF (dR, eR, aR, bR, CR, X[4], 9) 7 
163 FEF (CR, R, eR, aR,bR, X[1], 12) ; 
164 FEF (ER, CR, dR, eR, aR, Χ[5], 5) ; 
165 FFF (aE,ER, CR, dR, eR, X [8], 14) ; 
166 FFF (cR, aR, ER, CR, dR,X[7], 6) ; 
167 FEF (GR, ER, aR, ER, cR, Χ[6], 8) ; 
168 FFF (CR, GR, eR, aR, ΡΕ, X[2], 13) ; 
169 FEF (OR, CR, cR, eR, aR, X[13] , 6) ; 
170 FFF (aR, bR, CR, dR, eR, X[14] , 5) ; 
m FFF (cR, aR, bR, CR, GR, X[0] , 15) ; 
112 FFF (GR, eR, aR, ER, CR, Χ[31, 13) ; 
173 FFF (CR, cR, eR, aR, ER, X [9], 11) ; 
174 FEF (OR, CR, GR, eR, aR, X [11], 11) ; 
15 dR+ = clit hashBuffer[1]; 
176 hashBuffer[1]= hashBuffer[2]+ dL* eR; 
in hashBuffer[2]- hashBuffer [3]+ eL+ aR; 
178 hashBuffer[3]- hashBuffer[4]4 alt ER; 
179 hashBuffer[4]- hashBuffer[0]+bL+ cR; 
180 hashBuffer[0]= dR; 


181 } 
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hashProcess() 函数 共 由 4 部 分 组 成 : 初始 化 左右 两 部 分 计算 哈 希 值 的 初始 值 ,这 部 分 
通过 代码 行 第 3 行 到 第 14 行 实现 ;实现 左 半 部 分 的 哈 希 值 计 算 ,这 部 分 通过 代码 行 第 15 行 
到 第 94 行 完成 ;实现 右 半 部 分 哈 希 值 计算 ,这 部 分 通过 代码 行 第 95 行 到 第 174 行 完成 ;最 
后 部 分 将 计算 结果 合并 获得 最 终结 果 。 在 左右 各 半 的 计算 过 程 中 ,每 部 分 又 分 成 5 轮 , 每 轮 
16 步 计 算 。 


19.2.5 测试 与 输出 


测试 与 输出 部 分 由 MDO 函数 finish O 函数 和 display O 函数 等 组 成 ,最 终 通过 主 函数 
进行 驱动 。 
执行 哈 希 值 计 算 的 函数 MD() 的 具体 代码 见 程序 清单 19-20. 


程序 清单 19-20 
Ol void RIPEMDI60: :MD (unsigned char * message) 
0 { 
03 word32 i; 
04 word32 length; 
05 word32 nBytes; 
06 word32 X[16]; 
07 initHashBuffer () ; 
08 length- strlen((char* )message); 
09 for (nBytes- length;nBytes> 63;nBytes- = 64) 
10 { 
1 for (i= 0;i< 16;i+ +) 
19 { 
19 X[i]- byteToWord (message) ; 
14 messaget = 4; 
15 } 
16 hashProcess (hashBuffer, X) ; 
17 } 
18 finish (hashBuffer,message, length) ; 
19 for (i= 07i< 20;i+ = 4) 
20 { 
2 hashCode [i]- hashBuffer [i>> 2]; 
2 hashCode [i+ 1]= (hashBuffer[i»» 2]>> 8); 
23 hashCode [i+ 2]= (hashBuffer[i»» 2]>> 16); 
24 hashCode [i+ 3]= (hashBuffer[i»» 2]>> 24); 
25 } 
26 cout<< "hash ("; 
21 for (i= 0;i< length;i++) 
28 { 
29 cout<< message [i]; 
30 } 
3l cout«« ")-"; 
2 moDisplay(); 
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MDO 函数 的 参数 是 unsigned char 型 指针 ,具体 输入 需要 计算 哈 希 值 的 消息 。 


对 于 够 


64 字 节 的 消息 则 直接 计算 消息 哈 希 值 ,并 将 计算 结果 存储 到 计算 哈 希 值 的 缓冲 , 若 不 够 64 


字 节 则 调用 finish( 〇 函数, 完成 最 后 的 数据 填充 和 哈 希 值 计算 。 


在 计算 过 程 中 使 用 函数 byteToWord() 将 unsigned char 型 数据 转换 为 word32 型 数 
据 , 函 数 的 详细 代码 见 程 序 清单 19-21, 


程序 清单 19-21 


Ol word32 RIPEMD160::byteToWord(unsigned char * str) 


2 { 


0 } 


将 unsigned char 型 数据 转换 为 word32 型 数据 通过 移 位 过 程 来 完成 。 


retum ((word32)* ((str)+ 3)<< 24) | ((word32) κ ((str)+ 2)<< 16) | 


((word32) κ ((str)* 1)<< 8) | ((word32) * (str)); 


finish O PR 8k É TE A (C83 ΕΝ 
程序 清单 19-22 


Ol void RIPEMDI60::finish(word32 * mdBuffer,unsigned char * strIn,word32 length) 


0 { 


2) 


word32 i; 
word32 X[16]; 
for(i=0;i< 16;i++) 
{ 
X[i]- 0; 
) 
for (i= 0;i« (length&63) ;i+ +) 
t 
X[i»»2]^- (word32) * strInt +<< (8* (i&3)); 
) 
X[(Length>> 2) &15]^- (word32)1«« (8* (length&3)* 7); 
if((length&63)» 55) 
{ 
hashProcess (mdBuffer, X) ; 
} 
X[14]- length<< 3; 
X[15]- (Length>> 29) ; 
hashProcess (miBuffer, X) ; 


在 哈 希 值 计 算 完成 之 后 ,通过 MDO PRÉC 32 位 word32 型 数据 转换 为 unsigned char 型 
数据 ,并 将 最 终结 果 通 过 mdDisplay() 函数 输出 ,mdDisplay() 函数 的 详细 代码 见 程序 清 


单 19-23。 


程序 清单 19-23 


OL void RIPEMD160: :mdDisplay () 
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2 { 

03 word i; 

04 for (i= 0;i« 20;i+ + ) 

05 { 

06 cout<< setw(2)<< setfill('0')«« hex<< (int)hashCode [i]; 
07 } 

08 } 


输出 函数 将 计算 结果 以 16 进 制 格式 输出 。 
测试 过 程 的 驱动 通过 主 函 数 来 完成 ,测试 用 例 选 择 了 参考 文献 [77] 中 的 示例 进行 测试 ， 
主 函数 的 具体 代码 见 程 序 清单 19-24。 


程序 清单 19-24 
0l int main() 
e t 
03 RIPEMDI60 md; 
04 md.MD( (unsigned char * )""); 
05 md.MD((unsigned char * )"a"); 
06 md.MD!( (unsigned char * )"abc"); 
07 md.MD!( (unsigned char * )"message digest"); 
08 md.MD( (unsigned char * )"abodefghi jkImoparstuvwxyz") ; 


09 retum 0; 


hash ()= 9c1185a5c5e9fc54612808977ee8f548b2258d31 

hash (a) = (bdcgdpd256b3eegdaae347be6f4dc835a467ffe 

hash (abc) = 8ab208f7e05d987agqb044a8eg8c6b087fl15a0bfc 

hash (message digest)- 530689ef49j2fae572b881b123a85ffa21595f36 

hash (abodefghijklmnopqrstuvwxyz)= f71c27109c692c1b56-bdosbsb042865b3708-bc 


测试 结果 与 文献 给 出 的 结果 一 致 。 


19.3| 习题 与 实践 题 


19.3.1 习题 


l. 简要 说 明 RIPEMD-160 算法 的 分 组 运算 过 程 的 基本 原理 。 
2. 参考 图 19-2 说 明 RIPEMD-160 算法 每 步 运 算 过 程 的 基本 原理 。 


19.3.2 实践 题 


编程 实现 RIPEMD-160 算法 ,要求 : 待 计算 哈 希 值 的 数据 从 文件 读 取 , 计 算得 到 的 哈 希 
值 也 存储 在 对 应 的 文件 中 。 
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数字 签名 是 密码 技术 的 一 种 ,其 主要 作用 是 进行 身份 验证 和 完整 性 检验 。 数 
字 签 名 通常 是 公 钥 密码 算法 与 散 列 算法 的 结合 产物 。 数 字 签名 技术 在 网 上 银 
行 . 电 子 商务 .电子 政务 和 网 络 通信 等 领域 有 着 广泛 的 应 用 。 


数字 签名 (digital signature) iz ^it H Whitfield Diffie 和 Martin Hellamn 在 1976 年 提 
出 ,之 后 逐步 形成 一 系列 签名 体制 ,不 同 签名 体制 主要 依赖 于 不 同 的 数学 困难 问题 。 目 前 ， 
比较 常见 的 签名 算法 包括 RSA 签名 算法 .Rabin 签名 算法 .Elgamal 签名 算法 和 椭圆 曲线 签 
名 算法 等 。 


20.1. 数字 签名 概述 


数字 签名 是 一 种 类 似 于 在 纸 上 进 行 的 物理 签名 ,主要 用 于 数字 信息 的 鉴别 。 数 字 签 名 
实际 上 就 是 把 数字 形式 的 消息 与 某 个 发 送 消息 的 实体 相 联系 的 数字 信息 ,通常 是 将 这 个 数 
字 信 息 附 加 到 消息 后 面 ,以 便于 消息 的 接收 方 能 够 方便 地 进行 鉴别 ,并 证 明 消息 来 源 于 真正 
的 发 送 方 。 

数字 签名 一 般 包 括 两 部 分 ,一 部 分 是 签名 , 另 一 部 分 是 验证 。 数 字 签 名 的 基本 过 程 如 
图 20-1 所 示 。 


图 20-1 数字 签名 与 验证 的 基本 过 程 


数字 签名 算法 主要 包含 3 部 分 内 容 

CD 密 钥 生 成 算法 : 主要 生成 用 于 签名 的 私 钥 和 用 于 验证 的 公 钥 。 

(2) 签名 算法 : 对 于 给 定 的 消息 和 私 钥 产生 签名 。 

(3) 验证 算法 : 对 于 给 定 的 公 钥 、 消 息 和 签名 可 以 验证 消息 来 源 、 消 息 是 否 被 自 改 等 。 
数字 签名 通常 是 针对 待 签 名 的 哈 希 值 进 行 签名 ,数字 签名 的 具体 过 程 如 下 : 
CD 针对 所 需 签名 的 消息 使 用 哈 希 函数 计算 哈 希 值 。 

(2) 使 用 私 钥 对 哈 希 值 进行 签名 。 

(3) 将 签名 附加 在 消息 的 后 面 ,并 发 送 给 对 方 。 

接收 者 在 接收 到 签名 之 后 , 需 验 证 数字 签名 ,验证 签名 的 基本 过 程 如 下 : 
CD 将 接收 到 数据 进行 分 割 ,一 部 分 为 签名 ,一 部 分 为 消息 。 

(2) 将 消息 部 分 使 用 哈 希 函数 计算 得 到 相应 的 哈 希 值 。 
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(3) 将 签名 部 分 用 签名 者 的 公 钥 解密 ,获得 签名 者 计算 得 到 的 哈 希 值 。 

(4) 计算 得 到 的 哈 希 值 与 解密 得 到 的 哈 希 值 进 行 比较 , 若 两 者 相同 表示 签名 为 真 , 若 两 
者 不 同 则 签名 存在 问题 。 

图 20-2 是 典型 的 数字 签名 过 程 示意 图 ,图 20-2 的 左 方 是 签名 者 的 签名 过 程 , 签 名 的 基 
本 过 程 包括 计 算 消息 的 哈 希 值 .使 用 私 钥 对 哈 希 值 进行 签名 并 附加 在 消息 后 面 发 送 给 接收 
方 。 接 收 方 在 收 到 消息 之 后 ,将 消息 和 签名 部 分 分 离 ,计算 消息 的 喻 希 值 并 与 解密 得 到 的 哈 
希 值 相 比 较 , 若 两 者 相同 则 表示 消息 未 被 自 改 ,否则 消息 被 自 改 。 


签名 验证 
消 消息 + 
哈 希 值 £ — 


| 
I 
I 
| 
使 用 | 
za [ 签名 值 
I Hash 
一 一 
| 
| 
| 
I 
I 
I 
| 
I 
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险 希 值 哈 希 值 


图 20-2 数字 签名 过 程 示 意图 


20.20 RSA 数字 签名 方案 


RSA 数字 签名 方案 是 使 用 较 早 的 数字 签名 方案 之 一 ,也 是 由 MIT 的 Ronal Rivest, Adi 
Shamir 和 Len Adleman 提出 。 在 2000 年 美国 联邦 信息 处 理 标准 (FIPS PUB 186) 的 修改 
方案 中 RSA 数字 签名 方案 成 为 推荐 方案 之 一 。 

RSA 数字 签名 实际 上 是 通过 RSA 加 密 算法 进行 简单 改造 后 得 到 的 ,通常 由 于 明文 
M 都 比较 长 ,因此 ,一 般 都 不 对 明文 进行 直接 签名 ,而 是 利用 明文 计算 明文 的 哈 希 值 
(Hash(M) ) ,然后 再 对 哈 希 值 进行 签名 。RSA 数字 签名 方案 在 许多 安全 标准 中 得 到 广泛 
的 应 用 ,美国 联邦 信息 处 理 标准 (Federal Information Processing Standards) FIPS186-2 也 将 
RSA 数字 签名 算法 最 为 其 推荐 算法 ,ISO/IEC9796 也 推荐 使 用 RSA 数字 签名 算法 作为 
标准 数字 签名 算法 。 

RSA 数字 签名 方案 既 可 以 直接 对 消息 进行 签名 ,也 可 以 对 消息 的 消息 摘要 进行 签名 。 
由 于 使 用 RSA 数字 签名 算法 对 消息 直接 进行 签名 的 效率 太 低 , 因 此 ,一 般 情况 下 是 对 消息 
摘要 进行 签名 。 同 时 ,由 于 签名 过 程 使 用 的 是 私 钥 ,而 验证 过 程 使 用 的 是 公 钥 ,因此 ,对 整个 
消息 进行 签名 的 意义 不 大 。 

RSA 数字 签名 方案 的 基本 实施 过 程 如 图 20-3 所 示 。 


20.3 Elgamal 数字 签名 方案 


图 20-3 RSA 数字 签名 方案 示意 图 


假设 用 户 A 的 公 钥 为 na ,ea , 私 钥 为 ds, 待 签名 的 消息 为 M( 或 消息 摘要 ) ,那么 ,使 用 
RSA 签名 方案 的 用 户 A 签名 算法 为 
s = M*amod na 
用 户 B 的 验证 算法 为 
Μ΄ = ss mod na 
如 果 得 到 的 Μ΄ 55 M 相同 , 则 表示 消息 未 被 自 改 ,否则 消息 被 自 改 。 
RSA 签名 算法 的 签名 与 验证 过 程 正 好 与 RSA 加 密 算法 的 加 密 与 解密 过 程 相 反 。 这 种 
只 签名 不 加 密 的 签名 过 程 ,任何 拥有 公 钥 的 人 在 截获 ,就 可 以 通过 公 钥 恢复 得 到 消息 。 
如 果 要 保证 信息 不 被 泄露 并 进行 签名 , 则 需要 进行 两 次 运算 ,并 需要 两 组 密 钥 ,一 组 用 
于 加 密 ,一 组 用 于 签名 。 
假设 用 户 A 用 于 签名 的 公 钥 为 (na sea) , 私 钥 为 (ns ,da), 待 签名 的 消息 为 M( 或 消息 摘 
要 ), 用 于 加 密 的 公 钥 为 (ns ,es), 私 钥 为 (ms sda) IBAA A 的 签名 与 加 密 过 程 为 
s = Me mod nA 
c = s'? mod ng 
HP B 在 得 到 消息 之 后 ,先进 行 解密 运算 ,然后 再 验证 签名 ,具体 过 程 为 
κ΄ = c mod ng 
Μ΄ = s"a mod πλ 
RSA 数字 签名 算法 是 基于 RSA 加 密 算法 的 安全 性 ,由 于 只 有 签名 者 才 知 道 签名 密 钥 ， 
因此 ,其 他 人 无 法 伪造 签名 者 签名 。 
示例 20-1 i p=23.q=7, fF SHWE M 二 35, 试 给 出 签名 和 验证 的 计算 过 程 。 
解 (D n=pg=23X7=161。 
(2) gn) =9( pq) =p pp) = (23—1) X (7—1)=22X6=132, 
(3) 选择 e, 有 1<e<<132 ,并 与 132 互 素 ,选择 e 一 2 十 1 一 17,17 与 132 ER. 
(4) 计算 eCmod 9?(z)) 的 乘法 逆 元 ,得 到 d=101. 
(5) 签名 : s=M4mod n=35'" mod 161—98, 
(6) 验证 : M=s mod n=98" mod 161—35, 


20.3) Elgamal 数字 签名 方案 


Elgamal 数字 签名 方案 由 Elgamal 公 钥 加 密 算 法 演变 而 来 ,最 早 发 表 于 1985 年 ,美国 
的 数字 签名 标准 (DSS) 也 使 用 了 经 Elgamal 数字 签名 算法 演变 的 算法 。Elgamal 数字 签名 
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的 安全 性 是 基于 有 限 域 上 求解 离散 对 数 问题 的 困难 性 。 
Elgamsl 数字 签名 方案 基本 实施 过 程 如 下 : 
CD 密 钥 生成 
CD 生成 随机 大 素数 p UR p 的 本 原 根 g 。 
C) 随机 选择 私 钥 xz,1 二 + 三 p 一 2。 
@ 计 算 y=g*mod p. 
计算 得 到 的 公 钥 为 (p,g,y), 私 钥 为 x, 私 钥 z 将 用 于 签名 。 
(2) 签名 过 程 
O 随即 选择 一 整数 ,满足 0<k 二 p, 并 且 满 足 & 与 p 一 1 ER. 
( 计算 a=g* mod p. 
C BRENT m WITH 


m = ax + ksmod Cp — 1) (20-1) 
这 个 方程 也 称 为 签名 方程 ,将 式 (20-1) 转 换 可 以 得 到 
s= k'(m—ax)mod (p — D (20-2) 
得 到 签名 (a,s)。 
(3) 验证 算法 
要 验证 签名 内需 验证 
ya*mod p = μ᾽ mod p (20-3) 


上 述 过 程 是 直接 对 消息 进行 签名 ,使 用 这 种 签名 方法 签名 速度 比较 慢 , 通 常 是 对 消息 的 
哈 希 值 进行 签名 ,具体 签名 和 验证 过 程 如 图 20-4 所 示 。 


图 20-4 数字 签名 和 验证 过 程 


在 图 20-4 描述 的 数字 签名 方案 中 ,首先 使 用 相应 的 哈 希 函数 计算 消息 的 哈 希 值 , 然 后 
对 哈 希 值 进行 签名 ,在 签名 之 后 将 签名 附加 在 消息 之 后 发 送 给 接收 方 。 接 收 方 在 收 到 签名 
之 后 ,将 签名 部 分 与 消息 分 离 , 验 证 获得 哈 希 值 , 并 计算 消息 的 哈 希 值 , 再 将 两 者 进行 比较 来 
验证 签名 的 真实 性 。 

示例 20-2 ”假设 待 签名 的 消息 m 二 14, 签 名 者 选择 的 素数 p — 23 ,选择 的 素数 的 本 原 
HE g 王 11, 并 根据 私 钥 选择 条 件 选择 了 私 钥 + 二 7, 并 选择 了 秘密 数 上 = 二 17 用 于 签名 。 试 描 
述 签 名 和 验证 的 具体 过 程 。 

解 RERA p—23.g—11.x—7.k—17.m—14 

CD 计算 公 钥 


y = g*mod p = 11'mod 23 = 7 
签名 者 发 布 公 钥 (p,g,y) 一 (23,11,7) 用 于 验证 签名 。 
(2) 签名 
根据 条 件 计算 a=g* mod p=11" mod 23=14 
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根据 一人:(m 一 az)mod (p 一 1) 计 算 签 名 值 ,由 于 E k mod (2 一 1) 的 乘法 逆 元 , 因 
JETI ELIT SERES] 71 = 13.0) $—13(14—14X 7) mod 22 二 8, 得 到 (a,s) 二 (14,8) 并 发 送 给 接 
收 方 。 

(3) 验证 

接收 方 在 收 到 签名 后 通过 y'a? mod p=g"mod p 来 验证 。 

y'a' mod p = 7 X 14*mod 23 = 3 
£g" mod p = ll” mod 23 = 3 
接收 方 验证 签名 无 误 。 


20.4, DSA 数字 签名 方案 


DSA (Digital Signature Algorithm) 数 字 签 名 方案 是 美国 联邦 信息 处 理 标准 (FIPS PUB 
186) 推 荐 的 数字 签名 方案 。 目 前 DSA 签名 算法 在 IEEE 的 P1363 标准 中 的 数字 签名 方案 
中 也 被 推荐 使 用 。 

DSA 数字 签名 方案 的 安全 性 是 基于 有 限 域 上 计算 离散 对 数 的 困难 性 问题 ,DSA 签名 
是 针对 待 签名 消息 的 散 列 值 , 相 应 散 列 值 的 计算 使 用 的 是 SHA-1 算法 。 

DSA 数字 签名 方案 的 签名 与 验证 的 基本 过 程 如 图 20-5 所 示 。 


验证 


图 20-5 DSA 数字 签名 方案 示意 图 


DSA 数字 签名 方案 的 签名 算法 为 
r= folks psqsg) = (g*mod p) mod q (20-4) 
s= fi\CH(M) kx rq) = k> CHOMD + xr) mod q 
DSA 数字 签名 方案 的 验证 算法 为 
xo = fi(s,g) = (smod q) 
uj = (H(M)*)mod q 
(20-5) 


τω = r*mod q 
v= ((g^ y^ ) mod p) mod q 
DSA 算法 的 要 求 与 具体 签名 和 验证 过 程 如 下 : 
(1) DSA 参数 
Φ 参数 p 是 一 个 素数 ,满足 在 512 L«1024 F 2^7 <p<2! ,并 且 工 为 64 的 倍数 , 即 
p 的 长 度 在 512 位 至 1024 位 之 间 , 长 度 的 增 量 是 64。 
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Q 参数 g 是 p 一 1 的 一 个 素 因 子 ,g 的 长 度 为 160 位 , 即 2°°<qg<2™, 

© BR g — h^" mod p. Khi h Je 1< h< p— 1 的 任意 整数 ,并 且 满 足 
h^ "mod p>1。 

CD 私 钥 工 是 用 户 选择 的 随机 整数 ,并 要 求 0 熏 z<d。 

© AH y—g' mod p。 对 于 给 定 的 zx 计算 y 是 容易 的 ,而 对 于 给 定 的 y 计算 xz 是 困难 
的 ,这 就 是 DSA 数字 签名 方案 的 安全 基础 。 

参数 p,q,g 是 公开 的 系统 参数 ,参数 x 是 用 户 的 私 钥 ,参数 y 是 用 户 的 公 钥 。 

(2) 签名 过 程 

假设 用 户 A 要 对 消息 M 进行 签名 ,那么 具体 签名 过 程 如 下 : 

O 首先 用 户 A 选择 一 个 秘密 的 随机 整数 ,满足 1k p— 2. R k 5 p—1 互 素 。 


@ 用 户 A 计算 
r= (g*mod p)mod q ο 
s = k^ CHOMD + ar) mod q 
计算 得 到 的 (r,s) 是 对 消息 M 的 数字 签名 。 
(3) 验证 过 程 
HP B 在 收 到 用 户 A 对 消息 M 的 签名 之 后 ,通过 以 下 步骤 进行 验证 : 
O 计算 wow 的 计算 方法 如 下 : 
w=s'modg (20-7) 
Q 计算 w 和 us ,za 和 ws 的 计算 方法 如 下 : 
u = (H(M)*) mod q 
(20-8) 


us = r*mod q 
©. 计算 v.v 的 计算 方法 如 下 : 
v= ((g^ y^ ) mod p)mod q (20-9) 
Φ 验证 v— w 是 否 成 立 , 若 成 立 则 签名 为 真 ,否则 签名 为 假 。 
示例 20-3 假设 用 户 A 为 签名 者 ,用 户 A 选择 素数 = 11, p=2X114+1=23, HEA 
7 AER Vh p— 1. iT SE g — h^ "7 mod p= 二 7 ?"' mod p=3, HE g1. MP A 随机 选 
TER] z=5,W E O<a<q.it® y=g*mod p—3 mod 23—13, 
公开 的 参数 为 (p,q,g) 二 (23,11,13), 公 钥 为 y= 二 13, 私 钥 为 z==5, 假 设 待 签 名 的 消息 
为 有 (CM) 二 6, 试 给 出 签名 和 验证 过 程 。 
解 ”用户 A 选择 k==9, 满 足 与 p 一 1 二 22 BR. 
HP A 的 签名 过 程 如 下 : 
计算 : r=(g*mod p)mod q— (139mod 23) mod 11=3. 
计算 : P.H R=1 mod q H SERES] £7 —5, 
计算 : s—RCOHOWMD xr) mod q—5X (64-5X3)mod 11—6, 
YES ER Gn) — (3.6) RIEÉIGnHP B. 
用 户 B 的 验证 过 程 如 下 : 
计算 : w=s ! mod q—2 mod 11 一 2。 
计算 : a =(H(M)”)mod g=6’ mod 11—3, 
计算 : ἀν —r* mod q=32mod 11—9, 
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Wü. 
v = (Cg^ y“ ) mod p) mod q = ((13* X 13*) mod 23) mod 11 = 2 
结论 : 因为 vu 二 w, 所 以 签名 正确 。 


20.5| HEA 


通常 在 进行 数字 签名 时 ,签名 者 是 知道 所 要 签名 的 内 容 。 但 有 时 候 所 需 签 名 的 内 容 并 
不 想 让 签名 者 知道 具体 内 容 , 此 时 就 需要 使 用 讶 签名。 例如 ,在 进行 电子 投票 时 ,通常 投票 
者 不 希望 签名 者 知道 投票 的 内 容 , 此 时 则 可 以 通过 盲 签 名 来 完成 签名 。 又 如 ,在 进行 电子 购 
物 时 ,购物 者 需要 银行 进行 签名 ,但 同样 也 不 希望 银行 知道 购物 的 内 容 , 此 时 也 需要 使 用 育 
签名 来 完成 签名 。 


20.5.1 盲 签名 基本 原理 


盲 签名 最 早 在 1982 年 提出 ,其 目的 是 有 效 保护 待 签署 消息 的 内 容 。 

盲 签名 首先 由 消息 提供 者 对 消息 进行 讶 化 处 理 , 然 后 发 送 给 签名 者 ,签名 者 对 盲 化 的 消 
息 进行 签名 。 在 消息 拥有 者 得 到 签名 后 的 消息 之 后 ,对 签名 的 盲 化 消息 进行 去 盲 ,得 到 签名 
者 对 于 原 消 息 的 签名 。 盲 签名 是 一 种 特殊 的 数字 签名 方式 ,在 签名 过 程 中 签名 者 并 不 知道 
签名 的 具体 内 容 。 

盲 化 签名 技术 除了 要 满足 一 般 签 名 的 要 求 外 ,还 需要 满足 以 下 条 件 : 

(1) 签名 者 对 所 签署 的 消息 是 不 可 见 的 , 即 签名 者 无 法 知道 他 所 签名 的 内 容 。 

(2) 签名 后 的 消息 是 不 可 追踪 的 , 即 但 签名 的 消息 被 公布 后 ,签名 者 无 法 知道 这 是 哪 次 
的 签名 。 

育 签 名 实际 上 用 到 两 个 算法 ,第 一 个 是 加 密 算法 ,使 用 加 密 算法 可 以 达到 对 消息 的 隐 
藏 ,实现 了 盲 化 的 目的 ,第 二 个 算法 是 签名 算法 ,实现 了 对 盲 化 消息 的 签名 。 

一 个 好 的 盲 签 名 算法 需要 具有 以 下 性 质 : 

CD 不 可 伪造 性 一 一 除了 签名 者 本 人 ,任何 其 他 人 都 不 能 以 他 的 名 义 生 成 有 效 的 签名 。 

(2) 不 可 抵赖 性 一 一 签名 者 一 旦 签署 了 某 个 消息 ,那么 他 就 无 法 否认 对 消息 的 签名 。 

(3) 盲 性 一 一 签名 者 虽然 对 某 个 消息 进行 了 签名 ,但 他 却 无 法 看 到 消息 的 内 容 。 

(4) 不 可 跟踪 性 一 一 一 旦 签名 的 消息 被 公开 后 ,签名 者 无 法 确定 自己 是 何 时 进行 的 
签名 。 

以 上 4 条 性 质 是 设计 讶 签名 时 需要 遵循 的 基本 标准 ,满足 这 些 性 质 的 盲 签名 方案 被 认 
为 是 安全 的 盲 签名 方案 。 

讶 签名 的 基本 过 程 可 以 描述 如 下 : 

CD HP: A 使 用 加 密 算法 对 需 签名 的 消息 进行 加 密 : 

C= E, (M) 


将 加 密 后 的 消息 发 送 给 签名 者 Β. 
(2) 签名 者 BB 使 用 签名 算法 及 密 钥 对 盲 化 消息 C 进行 签名 : 
S. = Siga (C) 
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并 将 S. 发 送 给 用 户 A. 
(3) HP! A 对 签名 的 消息 进行 解 盲 : 
Su = Du (S.) = Di (Sige (C)) = Sige (Du (Ex (M))) = Siga (M) 
这 样 用 户 A 便 得 到 了 签名 者 B 对 消息 M 的 签名 。 
盲 签名 的 具体 算法 和 实施 过 程 根 据 所 选 定 的 签名 算法 而 定 ,并 且 要 求 盲 化 处 理 过 程 和 
签名 算法 必须 可 换 ,否则 无 法 得 到 最 终 的 签名 。 


20.5.2 RSA 盲 签名 


RSA 盲 签名 算法 是 David Chaum 利用 RSA 算法 设计 的 第 一 个 盲 数 字 签 名 方案 。RSA 
签名 方案 首先 也 是 对 需 进 行 签 名 的 消息 进行 讶 化 ,然后 对 盲 化 的 消息 进行 签名 ,再 进行 脱 盲 
得 到 签名 的 消息 。 

假设 RSA 盲 签名 的 公 钥 (e,n) , 私 钥 是 (4d,n), 待 签名 的 消息 是 m, IA, RSA 盲 签名 方 
案 的 基本 过 程 可 以 描述 如 下 : 

CD. HP! A 选择 一 个 随机 数 r. f r 满足 gcd(r,n) 二 1, 即 1 与 n 互 素 。 

(2) HP A 计算 : 

m' = mr'mod n 
并 将 m' 发 送 给 签名 者 Bo 
(3) 签名 者 B 对 得 到 的 m 进行 签名 ,签名 方法 如 下 : 
s = (m) mod n 
并 将 签名 结果 发 送 给 用 户 A。 

(Ὁ 用 户 A 在 得 到 签名 者 B 的 签名 后 进行 脱 言 , 脱 盲 方法 如 下 : 

s=s'+r'modn 

由 此 ,用 户 A 得 到 了 签名 者 B 对 消息 m 的 签名 。 

RSA 盲 签名 算法 利用 了 RSA 公 钥 算法 的 基本 特性 , 即 >= =+ mod >” 得 到 签名 的 基本 
过 程 为 

s= s + r = (m r = mrt m*rr^ m^mod n 

在 RSA 讶 签名 过 程 中 由 于 是 随机 选择 的 ,因此 ,用 户 A 对 消息 进行 讶 化 得 到 的 盲 化 
值 也 是 随机 的 ,所 以 ,签名 者 无 法 得 知 所 签名 的 消息 的 具体 内 容 。 同 时 ,RSA 盲 签名 算法 仅 
使 用 了 一 对 公 钥 和 私 钥 便 完成 盲 化 .签名 和 脱 盲 的 过 程 。 
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20.6 习题 与 实践 题 


20.6.1 习题 


1. 简要 说 明 数 字 签 名 的 基本 过 程 。 

2. 简要 说 明 RSA 签名 方案 的 签名 过 程 。 

3. 设 2 一 23,dq 王 11, 待 签名 的 消息 M 王 27, 假 设 采 用 的 签名 方案 是 RSA 签名 方案 , 试 
给 出 签名 和 验证 的 计算 过 程 。 

4. 简要 说 明 Elgamal 签名 方案 的 签名 过 程 。 
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5. 假设 待 签名 的 消息 m —17 ,并 选择 Elgamal 签名 方案 进行 签名 ,签名 者 选择 的 素数 
bp 王 23, 选 择 的 素数 p 的 本 原 根 g 二 11, 并 根据 私 钥 选 择 条 件 选择 了 私 钥 + 二 9, 并 选择 了 秘 
密 数 k 二 7 用 于 签名 。 试 描述 签名 和 验证 的 具体 过 程 。 

6. 简要 说 明 DSA 签名 方案 的 基本 过 程 。 

7. 简要 说 明 RSA 盲 签名 的 基本 原理 。 


20.6.2 实践 题 


1. 在 整 型 数据 大 小 的 范围 内 模拟 实现 RSA 数字 签名 方案 。 
2. 在 整 型 数据 大 小 的 范围 内 模拟 实现 Elgamal 数字 签名 方案 。 
3. 在 整 型 数据 大 小 的 范围 内 模拟 实现 RSA 育 签 名 方案 。 
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